Představte si e-mail, který vypadá naprosto důvěryhodně. Osloví vás jménem, zná vaše telefonní číslo, ví, kdy máte narozeniny, a odkazuje se na vaše zákaznické číslo. Přijde „od e-shopu“, u kterého jste si před rokem něco koupili. Jenže není od e-shopu – je od podvodníka, který přesně tahle data ukradl. A vy jako majitel e-shopu jste ten, kdo mu je nechtěně dodal.

Úniky zákaznických dat nejsou hypotetická hrozba z zpráv o velkých firmách. Jsou to konkrétní, zdokumentované případy – a čím méně zabezpečený je web, tím snazší je terč. Malý e-shop přitom často nemá IT oddělení, které by problém odhalilo dřív, než se stane katastrofou.

Když se to stane velkým, stane se to i malým

Že únik dat není okrajové riziko, ukazují i případy velkých hráčů. Řetězec Lidl musel varovat zákazníky svého e-shopu poté, co útočníci získali oslovení, jméno a příjmení, telefonní číslo, e-mail, datum narození a zákaznické číslo. Podle vyjádření firmy hesla, adresy ani platební údaje uniknout neměly – přesto je i tahle kombinace pro podvodníky velmi cenná. Stačí jim jméno, telefon, e-mail a datum narození k tomu, aby vyrobili zprávu, která bude vypadat naprosto věrohodně jako oficiální komunikace „od Lidlu“.

Podobný incident řešila i Škoda Auto na svém e-shopu. Útočníci se tam mohli dostat k osobním a kontaktním údajům zákazníků a k přihlašovacím údajům – hesla naštěstí byla uložená jako hashe, tedy v zašifrované podobě, což riziko zneužití snížilo, ale problém to úplně neřeší.

Tyhle případy mají jedno společné: nešlo o žádnou exotickou technologii útoku, ale o zranitelnosti, jaké se běžně vyskytují i na malých webech – zastaralý software, neopravená díra v systému, nedostatečně chráněný přístup do administrace. Rozdíl mezi Lidlem a malým e-shopem není v tom, jestli jsou zranitelní. Je v tom, kolik lidí si toho všimne, když se to stane.

Proč jsou malé e-shopy vlastně lákavý cíl

Majitelé menších obchodů si často myslí, že je „nemá cenu hackovat“ – vždyť nejsou tak zajímaví jako velká firma. Realita je opačná. Útočníci dnes útoky z velké části automatizují: skenují tisíce webů najednou a hledají ty se stejnou, dobře známou zranitelností (zastaralá verze WordPressu, děravý plugin, výchozí heslo do administrace). Nezáleží jim na tom, jak velká firma za webem stojí – záleží jim na tom, jak snadno se dovnitř dostanou.

A malý e-shop navíc často drží přesně tu kombinaci údajů, která má pro podvodníky hodnotu: jména, e-maily, telefony, historie objednávek, někdy i data narození. To stačí k cílenému phishingu nebo k prodeji dat dál.

Navíc platí jednoduchá logika: čím méně lidí se o web stará, tím déle trvá, než si někdo všimne, že se něco děje. U velké firmy je incident otázkou hodin, protože ho zachytí monitoring nebo bezpečnostní tým. Malý e-shop se o problému může dozvědět třeba až od naštvaného zákazníka, který dostal podezřelý e-mail – a to už je pozdě.

Na co si dát pozor

  • Web (nebo jeho redakční systém, pluginy, e-shopová platforma) dlouho neaktualizovaný – zastaralé verze jsou veřejně známá slabina.
  • Přihlášení do administrace dostupné bez omezení, bez silného hesla nebo bez dvoufázového ověření.
  • Formuláře na webu (objednávkový, kontaktní, newsletter), které ukládají data, aniž byste přesně věděli kam a jak dlouho.
  • Chybějící nebo nejasné informace o tom, kdo zpracovává osobní údaje a jak jsou zabezpečená (často první věc, kterou si všimne i běžný návštěvník).
  • Žádný plán, co dělat, pokud by k úniku došlo – kdo by to řešil, koho informovat, co zákazníkům říct.

Co to udělá s důvěrou

Únik dat není jen technický problém, který se „nějak opraví“. Je to zásah do vztahu se zákazníkem. Jakmile jednou pošlete e-mail typu „omlouváme se, došlo k úniku vašich údajů“, část zákazníků už se nevrátí – a ti, kteří zůstanou, budou každou další komunikaci od vás vnímat s nedůvěrou. U menší firmy, kde stojí důvěra na osobním doporučení a opakovaných nákupech, to bolí o to víc.

K tomu se přidává právní stránka věci. Podle GDPR musí správce osobních údajů ohlásit únik Úřadu pro ochranu osobních údajů do 72 hodin od zjištění – a v řadě případů i informovat samotné dotčené zákazníky. Zvládnout to narychlo, ve stresu, bez připraveného postupu, je přesně ta situace, které se chcete vyhnout.

Co s tím

Dobrá zpráva je, že velkou část rizika lze odhalit a snížit bez zásahu do webu a bez drahého auditu.

  • Zjistěte, na jakých verzích váš web běží. Zastaralý redakční systém nebo e-shopová platforma je nejčastější vstupní branou útočníků.
  • Zkontrolujte přístup do administrace. Silné heslo, ideálně dvoufázové ověření, žádné sdílené přihlašovací údaje mezi zaměstnanci.
  • Projděte si, jaká data vlastně sbíráte a proč. Co nepotřebujete, nemusíte ukládat – co nemáte, to vám nemůže uniknout.
  • Připravte si jednoduchý postup pro případ incidentu – kdo bude řešit ohlášení, jak budete informovat zákazníky.
  • Nechte si web pravidelně zkontrolovat – podobně jako auto na STK. Nemusíte čekat, až se něco stane, abyste zjistili, kde jsou slabiny.

WebRevize dělá přesně tohle poslední: pasivní kontrolu vašeho webu jen na základě veřejně dostupných informací, bez jakéhokoli zásahu do jeho fungování. Výsledkem je přehledný report, co je v pořádku a co byste měli řešit dřív, než to řeší za vás útočník.

Projde váš web technickou kontrolou?

Zjistěte zdarma, jestli váš web netrpí některým z problémů z tohoto článku. Uděláme mu revizi bezpečnosti, rychlosti i viditelnosti a pošleme přehledný report – bez závazků.

Chci revizi webu zdarma →

Zdroje: Peníze.cz – Lidl varuje zákazníky při úniku dat, CHIP.cz – Škoda řeší únik dat z e-shopu, Sedláková Legal – E-shop a únik dat


Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *