电子商务网络应用的重大安全漏洞

根据CyCognito的最新研究，由于电子商务网络应用程序存在重大安全漏洞，数百万在线购物者的个人身份信息(PII)可能处于危险之中。

这项研究是在黑色星期五和2023年网络星期一之前发布的，届时将有数百万消费者涌向电子商务网站寻找购物优惠。这些网站中的大多数都会在此过程中存储个人信息，如地址和信用卡详细信息。

研究人员警告说，这些网站中有很大一部分缺乏基本的安全协议，并包含可利用的漏洞。

CyCognito在2023年9月对其全球客户群进行了分析，发现超过四分之一(28%)的电子商务web应用程序缺乏web应用程序防火墙(WAF)，其中包括24%收集PII的应用程序。

此外，2%的应用程序仍然缺乏HTTPS，这是一种使用加密技术在计算机网络上进行安全通信的互联网协议。全球有超过2600万家电子商务商店，如果复制，这个数字可能会影响52万个网站。

该研究称，总体而言，58%的电子商务网络应用收集用户个人身份信息。

研究人员还透露，78%的电子商务网络应用程序没有征求用户对cookie的同意，这可能会导致它们违反像GDPR这样的数据隐私法规。

近一半(48%)的web应用程序存在一个或多个加密漏洞，而约三分之一(31%)的web应用程序至少存在一个易于利用的问题。

研究人员还发现，2%的应用程序至少存在一个严重的安全问题，其中一半的应用程序持有个人身份信息。在这些关键问题中，76%很容易被利用。

此外，7%的电子商务web应用程序至少存在一个OWASP十大安全问题。

在13%的受监控应用中发现了证书有效性问题，这可能会使服务器的身份不再受信任。

研究人员写道:“网络星期一充满了紧迫感，对购物者来说，迫切需要买到一笔好交易，对零售商来说，迫切需要利用一年中最大的电子商务日。网络犯罪分子利用这种紧迫性来利用错误配置和漏洞，这可能会给在此过程中粗心大意的组织造成巨大的声誉损害。”