Jak sprawić, aby Twój sklep był bezpieczny przed hakerami

Żałuję, że to piszę, ale cyberbezpieczeństwo to jeden z trendów technologicznych w sprzedaży mody na rok 2025. Wszystko wskazuje na to, że będzie to trend również na kolejne lata. Niestety to nie jest tak, że na 100% jesteśmy w stanie się ochronić  W 2024 roku Claudflare zablokował około 21,3 mln ataków DDoS (53% wzrost w skali roku). Co to są ataki DDoS (Distributed Denial of Service)? Sytuacja, w której boty atakują na przykład sklep internetowy, co powoduje, że serwer nie radzi sobie z takim ruchem, jest przeciążony i działa bardzo wolno, lub przestaje działać całkowicie. Za ataki DDoS mogą odpowiadać hakerzy, konkurencja, cyberprzestępcy, grupy polityczne lub aktywiści. Są to jednak jedno z wielu zagrożeń dla e-commerce’u. W tym artykule przyjrzę się innym, a także z pomocą eksperta w dziedzinie cyberbezpieczeństwa spróbuję odpowiedzieć na pytanie, jak się przed nimi chronić.

Jakie są kluczowe zagrożenia w e-commerce?

Strony internetowe i aplikacje e-commerce’owe są narażone na różne rodzaje zagrożeń. Mogą być to ataki na API, ataki DoS i wspomniane wcześniej DDoS, boty, które przechwytują dane użytkowników, socjotechnika skierowana przeciwko pracownikom sklepów finansowych, oszustwa finansowe, złośliwe oprogramowanie i wiele więcej.

Znanym zagrożeniem jest kradzież danych klientów. Słyszy się o tym bardzo często. Sklepy internetowe gromadzą bardzo dużą ilość danych, na przykład dane osobowe (imię, nazwisko, adres zamieszkania), dane dotyczące płatności, maile, hasła itd. Hakerzy wykorzystują różne słabe punkty – błędy w kodzie stron, źle skonfigurowane serwery czy nieaktualne oprogramowanie. Niestety włamanie często pozostaje długo niewykryte, co daje atakującym czas na masowe pozyskanie danych lub bardziej zaawansowane ataki takie jak np. e-skimming.

E-skimming polega na wstrzyknięciu złośliwego skryptu na stronę płatności, który aktywuje się podczas wpisywania danych karty przez klienta i natychmiast przesyła je przestępcom. Jest to szczególnie niebezpieczne w branży modowej, gdzie zakupy online są powszechne. Tylko w  2024 roku na platformach dark web (często wykorzystywany przez przestępców) i clear web opublikowano 269 milionów rekordów kart kredytowych co podkreśla rosnącą skalę tego problemu.

Poważnym zagrożeniem są ataki wykorzystujące wykradzione dane logowania klientów (np. użytkownik, hasło). Według raportu Verizon Data Breach Investigations Report 2024, takie ataki stanowią 38% naruszeń bezpieczeństwa w sklepach online. Przestępcy zdobywają dane logowania klientów na różne sposoby:

• Phishing – wysyłają fałszywe wiadomości e-mail lub SMS-y, aby wyłudzić hasła.
• Credential Stuffing – sprawdzają, czy wykradzione dane logowania są używane w innych serwisach, szczególnie po wyciekach danych.
• Malware i keyloggery – instalują złośliwe oprogramowanie, które przechwytuje wpisywane hasła.
• Brute-force i ataki słownikowe – testują popularne hasła, licząc na ich odgadnięcie.

Następnym niebezpieczeństwem, które czyha na właścicieli marek modowych (i nie tylko) jest ransomware i ataki na tak zwaną infrastrukturę wewnętrzną. Polegają one na zainfekowaniu systemów firmy i zaszyfrowaniu jej danych. Najczęściej za odszyfrowanie danych i nieopublikowanie ich (lub niesprzedawanie) hakerzy żądają od firmy okupu. W grudniu 2023 ofiarą takiego ataku został VF Corporation (właściciel m.in. Timberlanda, North Face’a i Vansa). Atakujący narazili dane 35,5 milionów klientów.

Zajmując się bezpieczeństwem w sieci, nie można pomiąć oczywiście czynnika ludzkiego. Nie tylko klienci, ale także pracownicy marki mogą paść ofiarą phishingu, lub co gorsza, celowo działać na szkodę firmy. W 2010 roku, były administrator Gucci zostawił sobie furtkę do systemu, i gdy został zwolniony, włamał się do sieci marki, wykasował kilka wirtualnych serwerów i wyczyścił dysk ze skrzynkami email pracowników. Został złapany i skazany na 15 lat więzienia.

Jakie znamy inne przypadki ataków hakerskich na marki modowe?

Na przestrzeni lat odbyło się wiele ataków na e-commerce’y, również należące do marek modowych. Tyczyło się to (i będzie tyczyć) zarówno dużych, znanych brandów, jak i tych małych i niszowych. Przykłady, które tu przytoczę są najgłośniejszymi z ostatnich lat, niemniej jest ich o wiele więcej, również takich, o których nie znajdziemy informacji w internecie.

• W 2023 roku ofiarą ataku hakerskiego padła firma Forever 21 (ta sama, która ostatnio ogłosiła upadłość). W dniach od 5 stycznia do 21 marca 2023 roku ktoś miał dostęp do danych osobowych 539 tysięcy obecnych i byłych pracowników firmy. Nie wiadomo jaki charakter miał ten incydent, ale zmotywował on markę do podjęcia działań naprawczych. Nie wiadomo też, czy ktoś zażądał od firmy okupu, ale cała sprawa została zgłoszona na policję.
  
• Choć opinia publiczna dowiedziała się o tym dopiero w czerwcu 2024 roku, to w  listopadzie 2023 roku zaatakowana została luksusowa marka Zadig & Voltaire z Paryża. Wyciekło prawie 639 tysięcy rekordów klientów, w tym imiona i nazwiska, numery telefonów, adresy dostawy, daty urodzenia, płeć, oraz 587 tysięcy unikalnych adresów email. Cyberprzestępca o pseudonimie “Tanaka” opublikował na forum hakingowym ofertę sprzedaży tych danych. Nie wiadomo jak doszło do włamania.
  
• W Q1-Q2 2024 roku ofiarą ataku padła grupa Benetton z Włoch (właściciel United Colors of Benetton i Sisley). Na początku kwietnia 2024 roku forum Hunters International pojawiły się informacje, że wykradziono 433,7 GB danych z sieci firmy. Co ciekawe, w lutym tego roku na innym forum również pojawiła się informacja o wykradzeniu danych marki United Colors of Benetton przez kogoś innego.
  
• 19 października 2024 roku haker o zwany “Satanic” włamał się do systemów amerykańskiej marki Hot Topic i 2 dni później opublikował ofertę sprzedaży tych danych za 20 tysięcy USD na forum BreachForums (+ 100 tysięcy USD za usunięcie danych z forum). Wykradziono dane na temat 56,9 miliona unikalnych kont klienta.
  
• Na początku 2025 roku doszło do wycieku danych klientów H&M w regionie Zatoki Perskiej. Wyciekło 8 GB danych: ponad 4 miliony rekordów klientów i 1,4 miliona wpisów z danymi personalnymi. Były to: imiona i nazwiska, adresy email, adres domowy, informacje rozliczeniowe, dane wysyłkowe. 

Jak uchronić sklep przed hakerami?

Przykładów ataków na sklepy internetowe jest wiele, natomiast marki modowe nie są bezradne. Istnieje kilka sposobów na ochronę przed hakerami. O to jak zabezpieczyć sklep internetowy zapytałam Tadeusza Calana (CISA, CRISC) – eksperta cybersecurity i audytora IT, który współpracował z różnymi branżami, takimi jak finansowa, edutech i e-commerce, dostosowując rozwiązania do ich unikalnych potrzeb.

Kasia Gola: Jak ochronić swój sklep przed atakami?

Tadeusz Calanca: „Ładna strona” i “fajna kolekcja” to za mało. Warto pomyśleć o solidnych zabezpieczeniach. Oto kilka rzeczy, które warto wdrożyć:

1. Mocne uwierzytelnianie: Zastosuj tzw. uwierzytelnianie dwuskładnikowe dla kont administracyjnych (czyli hasło + kod z aplikacji na telefonie) i ogranicz dostęp do funkcji administracyjnych tylko do osób, które naprawdę ich potrzebują. Regularnie sprawdzaj uprawnienia swoich pracowników.
   
2. Aktualizacje oprogramowania: Dbaj o to, aby platforma e-commerce Twojego sklepu i wszystkie dodatkowe wtyczki były zawsze zaktualizowane.
   
3. Bezpieczne płatności: Korzystaj z renomowanych operatorów płatności i upewnij się, że dane transakcji są szyfrowane.
   
4. Audyt i testy penetracyjne: Nie czekaj, aż hakerzy znajdą dziury w Twoim sklepie – bądź o krok przed nimi! Regularnie testuj systemy, a najlepiej zleć to specjalistom od cyberbezpieczeństwa. Profesjonalne audyty i testy penetracyjne pomogą wykryć słabe punkty, zanim zrobią to cyberprzestępcy.
   
5. Ochrona przed masowymi atakami: Sprawdź czy Twoja platforma e-commerce rozkłada ruch na wiele serwerów, zapobiegając przeciążeniom i tzw. atakom DDoS.
   
6. Buduj świadomość pracowników: Uświadamiaj i edukuj swoich pracowników w zakresie cyberbezpieczeństwa, zwłaszcza jak rozpoznawać oszustwa emailowe (phishing) i inne manipulacje cyberprzestępców.
   
7. Kopie zapasowe: Zapewnij regularne kopie swojej strony i danych, ale nie trzymaj ich tylko w jednym miejscu! Przechowuj je w bezpiecznej lokalizacji, oddzielonej od głównego systemu.
   
8. Polityki prywatności: Bądź transparentny z klientami i uzyskuj ich zgodę na przetwarzanie danych, zgodnie z RODO.

Czy marka modowa może być bezpieczna w sieci?

Przykłady ataków, które wymieniłam dowodzą, że nie ma gwarancji bezpieczeństwa. Natomiast nie znaczy to, że marki powinny zaniechać starań żeby jak najbardziej zabezpieczyć swój sklep, ponieważ ataki mogą prowadzić do utraty zaufania ze strony klientów, strat finansowych i przestojów w sprzedaży. Jak wykazał Tadeusz Calanca, istnieją sposoby, aby się bronić. Ja w tym miejscu życzę wszystkim czytelnikom i czytelniczkom bezpieczeństwa ich sklepów w sieci.

Przeczytaj również: Czy marki modowe powinny inwestować w gaming?

Powiązane artykuły:

Ta chińska aplikacja może zastąpić TikToka w USA. Czym jest RedNote? Answear dwucyfrowo zwiększył przychody. „Wkroczyliśmy na drogę dynamicznego wzrostu sprzedaży” Popularna marka kosmetyczna znika z Polski. „Dziękujemy za wspólną przygodę” K(B)ariery: Anna Stykała „Odważyłam się odsłonić swoją wrażliwość”