Drobiazg z powodu przestarzałego oprogramowania przy prowadzeniu sklepu internetowego

Firma z Dolnej Saksonii została niedawno ukarana grzywną w wysokości 65 500 euro za prowadzenie sklepu internetowego z przestarzałym oprogramowaniem. Luki w zabezpieczeniach spowodowane starą wersją oprogramowania umożliwiały przy niewielkim wysiłku obliczenie haseł użytkowników.

Oskarżenie

Właściwy organ nadzorczy potraktował zgłoszenie spółki do organu z powodu incydentu związanego z ochroną danych osobowych jako okazję do sprawdzenia sklepu internetowego spółki.

Wyniki dochodzenia

Okazało się, że strona korzystała z aplikacji sklepu internetowego xt:Commerce w wersji 3.0.4 SP2.1. Jest ona przestarzała od co najmniej 2004 roku i w związku z tym nie są już udostępniane aktualizacje bezpieczeństwa. Producent ostrzegał nawet przed korzystaniem z tej wersji ze względu na znaczne luki w zabezpieczeniach, m.in. ze względu na możliwość ataków SQL injection.

Hasła przechowywane w bazie danych były zabezpieczone za pomocą kryptograficznej funkcji skrótu "MD5", ale ta procedura kryptograficzna nie była już najnowocześniejsza, a zatem nie była przeznaczona do stosowania w przypadku haseł. Złamanie starej procedury szyfrowania haseł było więc możliwe.

Dodatkowo nie użyto "soli", która znacznie utrudniłaby systematyczne obliczanie poprzez wydłużenie hasła.

Ataki typu SQL injection

Za ich pomocą napastnicy mogą uzyskać dostęp do danych dostępowych wszystkich osób zarejestrowanych w aplikacji oraz dalszych danych w bazie. Luki bezpieczeństwa tego typu powstają, gdy nie wszystkie dane wejściowe, które mogą być zmieniane przez użytkownika końcowego, są maskowane tak, aby nie były rozumiane przez bazę danych jako polecenia. Jeśli brakuje tego maskowania, każde polecenie jest wykonywane przez bazę danych jako polecenie z własnymi prawami. Konsekwencje są takie, że cała tabela bazy danych może zostać wyprowadzona, usunięta lub zmieniona.

Grzywna

Organ nadzorczy uznał środki techniczne stosowane przez administratora za nieadekwatne w rozumieniu art. 25 GDPR i tym samym stwierdził naruszenie art. 32 I GDPR.

Przy ocenie wysokości grzywny wzięto pod uwagę czynniki łagodzące, że firma w odpowiednim czasie poinformowała zainteresowane osoby i zaleciła im ustawienie nowego hasła.

Firma zaakceptowała karę w wysokości 65 500 euro.

Zalecenie

Często wystarczy stosowanie aktualnego i załatanego oprogramowania, aby uniknąć luk w zabezpieczeniach i obsługiwać aplikacje internetowe zgodnie z przepisami o ochronie danych. Stosowanie aktualnych procedur kryptograficznych jest niezbędne i wymaga jedynie niewielkiego wysiłku. Istniejące luki bezpieczeństwa są eliminowane w nieskomplikowany sposób i w odpowiednim czasie poprzez aktualizacje ze strony producenta.

Oprócz aktualizacji, regularnie przeprowadzamy analizy podatności u wszystkich naszych klientów, zarówno zewnętrznych jak i wewnętrznych, w celu znalezienia ostatnich technicznych luk bezpieczeństwa i podatności w systemach IT klienta.

Aktualne zalecenia dotyczące wdrażania zabezpieczeń haseł można znaleźć na stronie internetowej Federalnego Urzędu Bezpieczeństwa Informacji (BSI) oraz w odpowiedniej wytycznej technicznej "Kryptographische Verfahren: Zalecenia i długości kluczy" (BSI TR-02102-1).

W indywidualnych przypadkach zawsze wskazane jest profesjonalne doradztwo w zakresie najbardziej odpowiedniego rozwiązania.