Uwaga: bezpieczeństwo danych w sklepie internetowym może być zagrożone!

Na tropie wyłudzenia danych, czyli krótka historia ku przestrodze

Sprawę zauważyliśmy dzięki modułowi dla SOTE SHOP: Przekierowania w sklepie internetowym, który loguje próby wejścia na strony zwracające błąd 404, czyli strony nieistniejące. Problem ten  może dotyczyć jednak nie tylko platformy SOTE, ale każdego właściciela sklepu – bez względu na to, na jakiej platformie postawiony jest sklep.

Zauważyliśmy, że w rejestrze  stron z błędem 404 jest wiele odwołań, które starają się pobrać pliki, umieszczone w katalogu sklepu, wykorzystujące standardowe nazwy np.: zrzutów bazy danych lub plików archiwum całego sklepu. W tym przypadku były to nazwy takie jak: dump.sql, /mysqldump.sql.bz2, czy /dump.rar. W rzeczywistości kombinacji może być nieskończenie wiele…

Jak może dojść do wycieku danych?

Czasem nieświadomy właściciel sklepu może umieścić bazę danych na „nieistniejącej” stronie. Stronie, której nazwę zna tylko on i która w rzeczywistości nie jest przeznaczona dla osób postronnych. Co się dzieje dalej? Jeśli roboty przeszukujące internet, wpisując adresy stron z użyciem fraz używanych do nazywania zrzutów baz danych, trafią na stronę, która takie pliki zawiera – pobierają dane – bez naszej zgody, a nawet bez naszej wiedzy…

Czego zatem nie robić?

Przede wszystkim NIE UMIESZCZAĆ dostępnych online plików ze zrzutami bazy danych lub z innymi spakowanymi danymi na stronie – licząc na to, że nikt nie zna nazwy takiego pliku. Przeszukujący strony robot wysyłając setki zapytań w końcu trafi na prawidłową nazwę i będzie mógł pobrać plik, np. z danymi klientów. A tego byśmy nie chcieli….

A Ty jak dbasz o swoje dane…