อีคอมเมิร์ซแอป เป้าหมายใหม่ การโจมตีทางไซเบอร์ (1)

อีคอมเมิร์ซแอป เป้าหมายใหม่  การโจมตีทางไซเบอร์ (1)

ในปี 2566 แนวโน้มทิศทางการโจมตีทางไซเบอร์บนแอปพลิเคชันอีคอมเมิร์ซ (E-commerce) ตกเป็นเป้าหมายหลักเลยก็ว่าได้

เนื่องจากธุรกิจอีคอมเมิร์ซกลายเป็น Omnichannel เพิ่มเรื่อยๆ และมีการสร้างและปรับใช้อินเทอร์เฟซ API มากขึ้น โดยแฮกเกอร์จะใช้ประโยชน์จากการหาช่องโหว่ต่างๆ เพื่อเปิดการโจมตี

นี่คือเหตุผลว่าทำไมการทดสอบและการหมั่นตรวจสอบระบบอย่างต่อเนื่องจึงมีความสำคัญมากในการช่วยหาจุดอ่อนให้ได้อย่างรวดเร็วและเป็นการป้องกันเว็บแอปพลิเคชันอย่างมีประสิทธิภาพ

วันนี้ผมจึงอยากหยิบยกเรื่องการโจมตีแพลตฟอร์มอีคอมเมิร์ซของ Honda มาพูดถึงว่ามันเกิดขึ้นได้อย่างไร รวมถึงผลกระทบที่เกิดขึ้นต่อธุรกิจและกลุ่มลูกค้า

การโจมตีแพลตฟอร์มอีคอมเมิร์ซของฮอนด้าที่จัดจำหน่ายสินค้าเกี่ยวกับอุปกรณ์ไฟฟ้า ไม่ว่าจะเป็นเครื่องตัดหญ้า เครื่องยนต์ติดท้ายเรือ เป็นต้น ได้เกิดข้อผิดพลาดของ API ที่ทำให้ไม่ว่าจะใครก็สามารถขอรีเซ็ตรหัสผ่านของบัญชีผู้ใช้งานใดก็ได้

หากแฮกเกอร์ค้นพบสิ่งนี้ได้ แน่นอนว่าจะเป็นการละเมิดข้อมูลครั้งใหญ่อีกครั้งหนึ่ง เพราะการสูญเสียการควบคุมในการเข้าถึงทำให้บุคคลอื่นสามารถเข้าถึงข้อมูลทั้งหมดบนแพลตฟอร์มได้ แม้ว่าจะเข้าสู่ระบบด้วยบัญชีสำหรับใช้ทดสอบ (Test Account) ก็ตาม โดยผู้ทดสอบสามารถเข้าถึงข้อมูลต่อไปนี้ได้ทั้งหมด

คำสั่งซื้อของลูกค้าเกือบ 24,000 รายจากตัวแทนจำหน่ายฮอนด้าทุกแห่งตั้งแต่ ส.ค. 2559 ถึง มี.ค. 2566 รวมถึงชื่อที่อยู่และหมายเลขโทรศัพท์ของลูกค้า เว็บไซต์ตัวแทนจำหน่ายที่ใช้งานอยู่ 1,091 แห่งซึ่งสามารถแก้ไขไซต์เหล่านี้ได้, ผู้ใช้งาน/บัญชีตัวแทนจำหน่าย 3,588 ราย รวมถึงข้อมูลส่วนตัว, อีเมลลูกค้าจำนวน 11,034 ราย รวมถึงชื่อและนามสกุล, อีเมลตัวแทนจำหน่าย 1,090 ราย, รายงานทางการเงินภายในสำหรับฮอนด้า

โดยจากข้อมูลข้างต้น แฮกเกอร์สามารถเลือกเปิดการโจมตีได้หลากหลายรูปแบบเริ่มตั้งแต่แคมเปญฟิชชิ่งไปจนถึงการโจมตีทางวิศวกรรมสังคม และการขายข้อมูลที่ผิดกฎหมายบนเว็บมืด ด้วยการเข้าถึงระดับนี้ มัลแวร์สามารถติดตั้งบนเว็บไซต์ตัวแทนจำหน่ายเพื่อพยายามขโมยข้อมูลบัตรเครดิตได้อีกด้วย

นอกจากนี้ บนแพลตฟอร์มอีคอมเมิร์ซของ Honda โดเมนย่อย “powerdealer.honda.com” ถูกกำหนดให้เป็นเว็บไซต์ตัวแทนจำหน่ายที่ถูกต้อง โดยการรีเซ็ตรหัสผ่าน API บนเว็บของ Honda อย่าง Power Equipment Tech Express (PETE) กำลังประมวลผลคำขอรีเซ็ตโดยไม่ต้องใช้รหัสผ่านเดิม

นอกจากนี้ มีการพบอีเมลบนวิดีโอ YouTube ที่สาธิตแดชบอร์ดของตัวแทนจำหน่ายซึ่งใช้บัญชีสำหรับทดสอบ เมื่อทำการรีเซ็ตแล้ว ข้อมูลส่วนบุคคลที่ใช้เข้าสู่ระบบสามารถนำไปใช้กับพอร์ทัลการเข้าสู่ระบบโดเมนย่อยอีคอมเมิร์ซของ Honda ได้ และยังเข้าถึงข้อมูลตัวแทนจำหน่ายภายในได้อีกด้วย

หลังจากนั้นผู้ทดลองใช้งานจะสามารถเข้าถึงบัญชีของดีลเลอร์ตัวจริงได้โดยไม่ต้องเสี่ยงต่อการตรวจจับและไม่จำเป็นต้องรีเซ็ตรหัสผ่านของบัญชีหลายร้อยบัญชี

การตรวจพบไม่ว่าจะเป็นข้อบกพร่องของ JavaScript บนแพลตฟอร์ม การกำหนดรหัสผู้ใช้ตามลำดับ และการขาดความปลอดภัยในการเข้าถึง ทำให้สามารถค้นหาบัญชีจริงได้โดยเพิ่ม ID ผู้ใช้ทีละหนึ่งจนกว่าจะไม่มีผลลัพธ์อื่นใดแสดงผล และท้ายที่สุดแอดมินพาแนล (Admin panel) ของแพลตฟอร์มจะสามารถเข้าถึงระบบได้โดยการแก้ไขการตอบสนอง HTTP เพื่อให้ดูเหมือนว่าบัญชีที่ถูกโจมตีนั้นเป็นแอดมินจริงๆ ทั้งนี้ฮอนด้าได้แจ้งข้อบกพร่องทั้งหมดที่ได้รับการแก้ไขแล้วภายในระยะเวลาไม่ถึง 1 เดือนหลังรายงานการตรวจพบ

ดังนั้นความสำคัญของการทดสอบความปลอดภัยของแอปพลิเคชันอีคอมเมิร์ซถือเป็นสิ่งสำคัญในการปกป้องข้อมูลส่วนบุคคลและข้อมูลทางการเงินที่เชื่อมโยงกับแอปพลิเคชัน รวมถึงลูกค้า ตัวแทนจำหน่าย และผู้จำหน่าย 

เพราะความถี่ของการโจมตีทางไซเบอร์ในแอปพลิเคชันอีคอมเมิร์ซมีสูง จึงจำเป็นต้องมีการป้องกันที่รัดกุมและปฏิบัติตามกฎระเบียบเพราะการละเมิดข้อมูลต่างๆ นั้น อาจสร้างความเสียหายอย่างมากต่อชื่อเสียงทางธุรกิจ การถูกปรับและทำให้เกิดการสูญเสียทางการเงินได้อีกด้วย

สัปดาห์หน้าเราจะมาตามกันต่อเรื่องภัยคุกคามทางไซเบอร์ การทดสอบและวิธีการประเมินช่องโหว่ของแอปพลิเคชันอีคอมเมิร์ซกันในตอนที่ 2 นะครับ