PII泄漏和来自不安全的电子商务api的其他风险

检查安全风险物流api所使用的网上购物平台Ryan Flores, Charles Perine, Lord Remorin, Roel Reyes 内容趋势科技法律免责声明此处提供的信息为一般信息和教育目的。它并不打算和不应被理解为构成法律意见。本网站此处所载信息可能并不适用于所有的的情况，可能并不反映最新的情况。本文件中的任何内容都不应被依赖或采取行动。在没有得到基于法律咨询的情况下，我们可以通过以下方式来实现。呈现的特定事实和情况，没有任何本应该被理解。趋势科技保留修改本文件内容的权利。在任何时间,恕不另行通知。4介绍5将任何材料翻译成其他语言是仅作为一种便利。翻译的准确性不保证也不暗示。如果出现任何问题与翻译的准确性有关的问题，请参考编制该文件的原语言版本。任何翻译中产生的差异或分歧是不具有约束力，对遵守或执行没有法律效力。执行的目的。背景9PII泄漏电子商务平台和第三方物流供应商尽管趋势科技已作出合理努力，以包括在此提供准确和最新的信息，趋势科技不做任何形式的保证或陈述，因为对其准确性、时效性或完整性不承担责任。你同意访问、使用和依赖本文件以及其中的内容，风险由您自己承担。趋势科技拒绝提供任何形式的明示或暗示的保证。趋势科技或参与创建的任何一方都没有。制作或交付本文件的人应负责对任何后果、损失或损害，包括直接的。间接的、特殊的、后果性的、商业利益的损失。或特殊的损害，不管是什么原因造成的访问。使用或无法使用，或与使用有关的问题本文件，或其内容的任何错误或遗漏。其。使用这些信息构成对以下内容的接受使用“是”的条件。21PII泄漏的影响27解决不安全的编码PII实践,导致泄漏发表的趋势科技的研究32结论写的瑞安·弗洛雷斯,查尔斯•PerineRemorin勋爵Roel雷耶斯,趋势科技的研究图片的许可下使用Shutterstock.comRaimund基因(1963 - 2017) API使企业能够整合来自第三方供应商的数据和服务，以提高他们的核心服务和用户体验，以及获得更深入的消费者洞察力。如果实施不当，私人数据泄漏是与API整合相关的风险安全实践允许，但在某些情况下这可能不是一个问题。例如，一个提供风、温度和降水数据的气象站将不会是如果API通信没有经过认证，就会受到明显的影响，因为没有所涉及的机密、专有或个人可识别的信息。然而，有许多垂直领域的API通信必须适当地进行。安全。如果处理个人、医疗、金融和机密数据的API没有如果没有足够的保护，该组织可能会面临法律或合规问题。在以前的一个趋势科技研究部研究了开放银行的各种实施模式安全性不足的情况下。在这项研究中，我们研究了电子商务和物流这两个领域。在这一流行病期间，市场的发展速度大大加快。我们发现有几个电子商务和物流平台正在泄露PII和购买力。由于没有足够的API安全和认证实施，这些信息是不完整的。该暴露的PII显示了客户的姓名、地址和联系信息。潜在的然而，当与购买物品的信息结合在一起时，危害就会恶化，因为这可以揭示用户的购物习惯、家庭信息、性偏好和其他信息。敏感信息。此外，这些信息和API漏洞可以被恶意行为者利用，以便针对电子商务客户的货到付款诈骗--一种常见的支付方式在某些国家，这类欺诈行为可能会对商家的收入产生负面影响。声誉和底线。不遵守开放网络应用安全项目（OWASP）的建议会话和cookie过期，数据过度暴露，以及对象级别被破坏。授权，使这些API漏洞持续存在。据我们所知，我们发现的安全漏洞还没有在任何诈骗案中被利用。或欺诈行为呢。这项研究旨在提高对此类问题的认识，以便平台能够应对这些问题，提醒开发人员注意安全编码的做法，而企业则在选择集成合作伙伴时，将API安全作为一个标准。 介绍2020年，全世界有1310亿个包裹被运送。1相当数量的驱动电子商务的增长2当时，为了遏制该大流行病的蔓延而实行了封锁。人们仍然需要购物，而零售商仍然需要销售商品，但有了行动限制由于对健康和安全的关注，电子商务为企业提供了一个平台。继续卖给顾客。除了用于销售和支付商品的平台之外，支付服务也在很大程度上发挥了作用。电子商务。没有这些服务，消费者将无法收到他们购买的包裹在线。然而，只有像亚马逊这样最大的零售商可以建立自己的物流服务，所以大多数商家需要与物流供应商整合，将其产品运送给客户。物流供应商提供了一个无缝的体验，如订单和跟踪通知都是以即使更新是由外部物流发送的，看起来也像是来自商家。供应商。为了做到这一点，电子商务平台与第三方物流系统平台整合。物流（3PL）来传递运输信息。这就造成了一种情况，即安全方面的弱点在应用程序编程接口（API）或认证链中，可能会泄露客户的个人隐私。由于HTTP重放攻击的手段较弱或不充分，导致可识别的信息（PII）。身份验证。本研究报告审查了我们在物流的API实现中看到的安全问题。潜在的泄漏PII的供应商。我们探讨了这些漏洞的各种影响和安全风险。给商家和买家。4 | 考察网上购物平台使用的物流API的安全风险 背景甚至在大流行病发生之前，电子商务就已经获得了发展势头，并在不断增长。全球每年4.5%的速度。3大流行病的封锁只是加速了电子商务的采用。因为它极大地减少了人与人之间的互动，以解决安全问题。大流行。与实体店相比，电子商务有几个优势。•较低的初始资本。零售业中资本最密集的部分之一是拥有一个实际的除了一个仓库之外，还有一个商店。电子商务消除了对实际的实体店和仓库,从而减少启动成本。••开放的24/7。买家可以24小时在网上商店购物，不受商店或商场的约束。个小时。更广泛的范围。电子商务使商家能够吸引数以百计甚至更多的客户。数千英里之外。必须指出的是，建立一个电子商务企业需要有更多的网络知识背景与建立一个实体店相比，这是不可能的。为了说明这一情况，让我们使用一个名为XYZ的假想零售商。希望建立一个电子商务商店来补充其实体店的商店。XYZ商店的砖实体店XYZ在线商店店面付款处理器结帐库存跟踪航运API提供者航运公司网上购物平台航运交付返回图1.建立一个网上商店的要求5 | 考察在线购物平台使用的物流API的安全风险 首先，XYZ商店需要有一个店面，或在互联网上有一个可以展示其产品的地方。正在销售。店面可以是XYZ商店自己的网站，这使得它可以完全自由地设计视觉和感觉，以及控制品牌和客户体验。然而，运营自己的网站也有其他责任，如网站开发、域名注册和网站托管和维护。然后，XYZ商店需要有一种方法让顾客为其购买的东西付款，并有一种方法让商店能够接受付款。要做到这一点，它需要在店面中纳入一个支付网关，以处理支付。最后，XYZ商店需要一个物流供应商，可以将商品运送给客户，并提供订单跟踪信息。许多被归类为第三方物流(3PL)或第四方物流的物流供应商当事人物流（4PL）不仅处理包裹交付，而且还处理库存、仓储和订单跟踪。注意,一些平台,如亚马逊,4易趣,5Shopify,6Lazada,7提供一体化的解决方案,所以商家只需要在他们的平台上注册。店面的设置，支付网关。和物流只是一个勾选的问题，因此对企业来说非常方便。属于电子商务的新手。当然，这类平台提供的这种便利的代价是缺乏选项，以至于店面看起来与其他商家的店面如此相似，或者说是供应商的选择。支付网关和物流可能仅限于那些已经集成到平台上的。对于那些不那么熟悉网络的零售商，电子商务平台的吸引力在于所需的技术知识门槛低。建立一个在线商店。仍有一些领域，实体店比网店更有优势，比如说以下。••••客户可以看到,检查和测试项目。潜在买家可以看到并持有产品，尝试当他们在实体店的时候，可以穿上它，测试它，检查它的真实感觉和外观。顾客在购买后可以马上把产品带回家。 客户只需要支付项目,他们可以立即把它。没有运输成本.虽然很多电子商务平台都提供免费或减免运费的服务。加急运输和易碎物品的运输可能是昂贵的。简单的回归过程。由于是当面购买，所以也可以办理退货手续与在线交易相比，当面交易没有那么复杂。客户不需要触发退货程序，打印标签，并等待快递员来取包裹或投递货物。物品在邮局。实体店的优势是电子商务平台、物流供应商和新兴技术正试图弥合这一问题。使用高质量的照片、3D模型、视频、客户评论、开箱体验和虚拟现实都试图缩小仅仅看到物品之间的差距。在屏幕上，有一个更加身临其境的购物体验，这有助于补偿一些不能亲自处理产品的不足之处。6 | 考察网上购物平台使用的物流API的安全风险 物流平台正在大力提供更快的交付周转时间，次日达。在一些地方，当日送达变得越来越普遍。这迅速的周转使电子商务平台能够最大限度地减少客户行走之间的差距。携带物品离开实体店，而客户在几个小时后收到包裹。之后他们把网上订购。外部物流供应商是什么?随着消费者的需求向电子商务转移，企业主需要跟上订单的完成情况，以便防止产品交付的延误。为了帮助减轻商家的物流任务，一个外部物流供应商是管理供应链物流过程的一个可行的选择，可以部分地或通过一个完整的物流解决方案。这可以是一个简单的快递服务，商家用它来运送产品(2PL）或3PL，负责管理产品的仓储、充实和交付。图2显示了一个外部物流供应商为不同的使用情况工作。81 . pl2 . pl第三方物流4 pl卖方提供的产品直接商店使用他自己的运输方法,不使用任何外部运输供应商。卖方使用快递服务交付的产品到商店。卖家雇佣一个运输和实现服务提供者处理航运,实现,物流操作。卖方——通常一个企业-员工物流公司管理订单和执行运输和实现操作过整个供应链。图2.外部物流供应商如何在不同的使用案例中发挥作用7 | 考察网上购物平台使用的物流API的安全风险 对于一个新的企业来说，需要与一个快递供应商建立一个账户，以便向其客户交付产品。最终，当需求增加，网店变得流行时，店主需要找到其他外部物流供应商，以跟上订单的步伐，无论是仓储、灌装。或交付货物。电子商务平台是一个很好的解决方案，可以让店主轻松管理他们的在线业务的学习曲线最小，并且易于设置网络服务器和域名。电子商务平台允许商家选择附加服务或外部物流供应商这取决于企业的要求。例如，使用电子商务平台的商户可以拥有一个管理其产品交付的订阅账户，并拥有一个单独的账户从另一个管理仓储的供应商那里。电子商务平台也可以管理3PL供应商这使得他们一个4 pl。此外，在大流行期间，滴滴出行业务变得更加流行，因为它很容易设置，不使用任何仓储来存储来自制造商的大宗存货。如上所示图3中,9滴滴打车允许商家代表客户直接向供应商订货，这样就可以产品直接运给他们，而不需要一个仓库来储存货物。电子商务平台作为外部物流供应商，通过实现整合，允许直接购买来自供应链，并将它们直接发送给消费者。存储转发来供应商并支付它批发价格(150美元)。客户的地方订单和支付你的商店零售价格(200美元)。2商店1保持50美元的利润客户供应商3供应商将订单直接发货给客户。图3。运输船模型是如何运作的吗在这项研究中，我们首先研究了那些无意中泄露消费者信息的3PL和4PL供应商。通过未经认证或不安全的方法获取个人信息。我们还发现，它不仅是可以暴露敏感信息的3PL和4PL平台，但也有与之整合的服务。他们。电子商务平台允许商家通过以下方式整合现有的外部物流供应商API，将不同的服务无缝整合到一个单一的平台。API密钥和认证密钥注册，以便电子商务平台和外部物流供应商能够安全地沟通。8 | 考察网上购物平台使用的物流API的安全风险 PII泄漏从电子商务平台和第三方物流供应商每个电子商务平台都有自己的方式来保护客户的订单信息。最常见的是方法是要求客户在查看订单细节之前先登录一个账户。然而。由于在市场上使用客人结账选项的便利性，用一个账户登录只是查看在线订单信息的选项之一。另一个选择是使用独特的URL，即电子商务平台通过电子邮件或短信向客户发送，将他们转到一个网站，在那里可以找到订单信息。这使客人用户能够检查他们的购买状态，而不需要需要验证会话。这种方法假定使用唯一的URL的组合发送到收件人拥有的电子邮件地址或电话号码，足以确保对收件人的保护。PII。不幸的是，这