Viele vermeintlich sichere Online-Shops scheitern schon allein daran, dass sie ihre Backups in öffentlich verfügbaren Verzeichnissen ablegen.
Online-Shops werben nur allzu gerne mit einer sicheren Abwicklung ihrer Geschäfte. Einer neuen Studie zufolge scheitern jedoch mehr als 12 Prozent schon allein an ihrer Backup-Strategie. Dabei liegen oftmals Sicherungsdateien, die unzählige brisante Informationen enthalten, einfach in frei zugänglichen Webverzeichnissen herum.
Viele Online-Shops haben keine sichere Backup-Strategie
Einer Studie des Sicherheitsunternehmens Sansec zufolge lassen etwa 12 Prozent aller Betreiber vermeintlich sicherer Online-Shops Backups in öffentlich verfügbaren Ordnern liegen. Infolge dieser Nachlässigkeit gelangen nicht selten Passwörter für interne Konten in die Hände von Cyberkriminellen, die daraufhin die gesamte Webseite übernehmen können.
Wie BleepingComputer berichtet, haben die Sansec-Forscher insgesamt 2.037 Shops unterschiedlicher Größe untersucht. Bei 250 davon, was einem Anteil von 12,3 Prozent entspricht, fanden sie ZIP-, SQL- und TAR-Archive in öffentlichen Webordnern. Diese waren frei und ohne jegliche Authentifizierung zugänglich.
Dabei handelte es sich um Backups, die eine Reihe brisanter Informationen enthielten. Darunter einige administrative URLs, interne API-Schlüssel, Datenbankpasswörter sowie auch personenbezogene Kundendaten.
Sichere Online-Shops ade: Ein einziges Backup macht alles zunichte
Dass dies nicht folgenlos bleiben kann, liegt auf der Hand. „Online-Kriminelle suchen aktiv nach diesen Backups, da sie Passwörter und andere sensible Informationen enthalten„, so die Forscher in ihrem Bericht. Es seien bereits mehrere IP-Adressen identifiziert worden, von denen Angriffe auf die vermeintlich sicheren Online-Shops ausgingen.
Demnach scannen Cyberkriminelle automatisch nach den frei zugänglichen Sicherungsdateien, “um die Kontrolle über Shops zu erlangen, Händler zu erpressen und Kundenzahlungen abzufangen.” Dieser Scanvorgang sei sehr kostengünstig und bleibe oftmals über lange Zeiträume unentdeckt, da er die Leistung der jeweiligen Shops keineswegs beeinträchtige.
Kein Wunder also, dass sich Verbraucher beim Online-Handel immer mehr um ihre Privatsphäre sorgen.
Shop-Betreiber sollten Maßnahmen ergreifen
Wer wirklich sichere Online-Shops betreiben will, sollte seine Webseiten regelmäßig auf versehentlich veröffentlichte Daten und Backups überprüfen. Findet er welche, so rät das Sansec-Team zu einer Reihe von Maßnahmen:
Sansec
- Überprüfen Sie die Protokolldateien Ihres Webservers, um festzustellen, ob Ihr Backup heruntergeladen wurde.
- Überprüfen Sie, ob nicht autorisierte Administratorkonten vorhanden sind.
- Ändern Sie alle relevanten Passwörter, insbesondere Administratorkonten, SSH/FTP-Konten und Datenbankpasswörter.
- Stellen Sie sicher, dass Ihr gesamtes Personal eine Zwei-Faktor-Authentifizierung verwendet.
- Stellen Sie sicher, dass Ihre Website keine Remote-Datenbank-Administrationspanels wie phpMyAdmin oder Adminer enthält.
- Starten Sie einen eCommerce-Malware-Scanner. Unser Backend-Sicherheitsscanner eComscan wurde in erster Linie entwickelt, um diese Art von Untersuchungen zu beschleunigen.
Vorbeugend rät das Unternehmen Shop-Administratoren unter anderem, den Zugriff auf Archivdateien per Webserver-Konfiguration einzuschränken. Ferner könne es sich als nützlich erweisen, eine saubere Strategie mit regelmäßigen Backups umzusetzen, damit eine Ad-hoc-Sicherung gar nicht erst erforderlich ist.