假日购物季的网路安全风险

主要重点

假日购物季在刺激消费的同时，也成为网路攻击者的猎场。超过53的电子商务资产收集个人可识别信息PII，存在安全漏洞。基本的安全防护措施如HTTPS和网路应用防火墙WAF实施不当，令商家面临更高风险。不遵守数据保护法规可能导致高额罚款及声誉损害。

在假日购物季，商家面临著急促的决策、紧急的促销以及最后一刻的礼物寻找。在消费者忙著抢购最佳交易和寻找今年必备礼物的同时，攻击者却专注于利用这种混乱，并且他们每年都在变得更加精明。

黑色星期五标志著攻击者的主要狩猎季节开始。零售商急于满足激增的需求，避免网站停机损失，同时消费者则因压力而急躁，准备迅速行动。这种组合为勒索病毒攻击、支付诈骗和针对个人可识别信息PII的数据泄漏形成了完美条件。对商家和消费者双方而言，风险比以往更高。

这周的黑色星期五以及接下来的网路星期一启动了全球的购物热潮，甚至在一些不庆祝美国感恩节的地区也同样如此。考虑到这一点，我们对2023年11月至2024年10月期间英国、欧洲及其他地区的电子商务系统进行了分析，以揭示攻击者可能在这一季节利用的漏洞。

我们的分析集中在电子商务资产，如网页应用和介面，并通过机器学习和自然语言处理技术进行识别。这些系统通常处理支付细节、购物车功能或客户结账，对运营至关重要，但同时也是攻击者的金矿。

我们的发现相当惊人：53的电子商务资产收集用户的PII。尽管相比去年的58有所改善，但这仍使它们成为攻击者寻求获取敏感数据、盗取支付细节或损害品牌声誉的最佳目标。未提供足够保护的PII存储只会进一步增加风险。

被忽视的保护，扩大的风险

我们的 2024年外部暴露管理状况报告揭示了电子商务系统基础安全实践的令人担忧的趋势。HTTPS作为一种基本的加密层，其采用率出现了令人担忧的下降。虽然绝大多数电子商务网站仍在使用HTTPS，但有3的应用程式缺少此功能，较去年增加了50。在欧洲的问题更为严重，接近5的电子商务资产缺乏这一基本保护。

网路应用防火墙WAF的情况更为严峻。设计来保护恶意网路流量的WAF在40以上的电子商务资产中缺失，与去年的28相比有了显著增长。这一缺口对于收集PII的资产尤其危险。在这些高价值目标中，有35没有WAF，这较2023年的24有所上升。在英国和欧洲，收集PII的资产中分别有43和40缺失这一关键防护。

为高风险的圣诞购物季做好准备媒体