AI chatboty, SQL injection, leak databázy či únik rodných čísel - kybernetické hrozby e-shopov sú reálne a podceňované. Zistite, čo ohrozuje váš online obchod a ako sa brániť.
Predtým, ako som sa začal venovať kybernetickej bezpečnosti, som pracoval v e-commerce. Spravoval som web, vybavoval reklamácie, komunikoval so zákazníkmi. Bezpečnosť? Riešila sa tak akurát keď niečo prestalo fungovať. Dnes, keď sa na to pozerám z druhej strany, vidím veci, ktoré by ma vtedy zaujímali — a možno aj zaskočili.
E-shopy patria medzi najčastejšie ciele kybernetických útokov. Nie preto, že by útočníkov zaujímal predávaný tovar — ale preto, že e-shopy spracúvajú obrovské množstvo osobných a platobných údajov, často s nižšou úrovňou ochrany ako bankové alebo zdravotnícke systémy. A práve tento nepomer je príležitosť, ktorú útočníci využívajú.
AI chatbot, ktorý vie príliš veľa
AI asistenti a chatboty sú dnes bežnou súčasťou e-shopov. Pomáhajú zákazníkom s výberom tovaru, odpovedajú na otázky, vybavujú jednoduché požiadavky. Problém nastáva vo chvíli, keď chatbot nie je správne izolovaný od interných systémov a dát.
Organizácia OWASP (Open Worldwide Application Security Project) vo svojom LLM Top 10 — zozname najzávažnejších bezpečnostných rizík AI aplikácií — uvádza prompt injection ako hrozbu číslo jedna. Ide o techniku, pri ktorej útočník prostredníctvom špeciálne sformulovaných vstupov dokáže prinútiť AI model ignorovať jeho bezpečnostné nastavenia a správať sa spôsobom, na ktorý nebol určený. V kontexte e-shopu to môže znamenať vytiahnutie interných cenových pravidiel, informácií o skladových zásobách, alebo dokonca technických detailov o použitých systémoch.
Ďalším rizikom je tzv. training data poisoning — situácia, keď sú dáta použité na trénovanie alebo konfiguráciu AI modelu kompromitované, čo ovplyvní jeho správanie spôsobom, ktorý nie je na prvý pohľad viditeľný.
Čo s tým: AI nástroje nasadené v e-shope by mali mať striktne definovaný rozsah prístupu k dátam na princípe least privilege — teda minimálnych oprávnení nevyhnutných pre ich funkciu. Pravidelné bezpečnostné testovanie AI komponentov by malo byť súčasťou každého releaseového cyklu.
Zamestnanci ako vstupná brána
Krádež prístupových údajov zamestnancov je jeden z najčastejších počiatočných vektorov útokov na e-commerce platformy. Útočník nepotrebuje prelomiť technickú ochranu systému — stačí mu získať platné prihlasovacie údaje zamestnanca.
Na to slúži niekoľko dobre zdokumentovaných techník. Credential stuffing využíva úniky hesiel z iných služieb — ak zamestnanec používa rovnaké heslo na firemnom účte aj na súkromnom e-maile, ktorý bol súčasťou úniku, útočník to vie skôr ako IT oddelenie. Spear phishing je cielený phishingový útok prispôsobený konkrétnej osobe — napríklad e-mail zdanlivo od dodávateľa alebo interného kolegu, ktorý vedie k falošnej prihlasovacej stránke.
V menších e-shopoch je navyše bežné zdieľanie administrátorských účtov medzi viacerými zamestnancami, čo znemožňuje auditovanie toho, kto vykonal akú akciu — a výrazne komplikuje reakciu na incident.
Čo s tým: Každý zamestnanec by mal mať vlastný účet s oprávneniami zodpovedajúcimi jeho roli (princíp role-based access control). Nasadenie MFA (viacfaktorovej autentifikácie) výrazne znižuje riziko zneužitia ukradnutých prihlasovacích údajov. Po ukončení spolupráce — okamžité zrušenie všetkých prístupov.
Leak zákazníckej databázy
Zákaznícka databáza e-shopu obsahuje mená, e-mailové adresy, doručovacie adresy, históriu objednávok — a v niektorých prípadoch aj uložené platobné údaje. Pre útočníka ide o mimoriadne hodnotný cieľ: databázy sa predávajú na dark webových fórach, kde slúžia na ďalšie phishingové kampane, podvody alebo krádež identity.
Najčastejším technickým vektorom úniku databáz zostáva napriek desaťročiam osvety SQL injection — technika, pri ktorej útočník vkladá škodlivý kód do vstupných polí webovej aplikácie s cieľom manipulovať databázové dotazy. Podľa OWASP patrí injection dlhodobo medzi top bezpečnostné riziká webových aplikácií. Ďalším bežným vektorom sú nezabezpečené API endpointy alebo nesprávne nakonfigurované cloudové úložiská.
Z pohľadu GDPR je únik osobných údajov zákazníkov bezpečnostným incidentom s povinnosťou hlásenia Úradu na ochranu osobných údajov do 72 hodín od jeho zistenia. Sankcie za porušenie môžu dosiahnuť až 4 % ročného obratu spoločnosti.
Čo s tým: Šifrovanie databáz, pravidelné penetračné testy zamerané na injekčné zraniteľnosti, minimalizácia uchovávaných údajov a jasne definovaný incident response plán — teda postup, ktorý vieme spustiť okamžite keď k incidentu dôjde.
Age-restricted e-shopy: keď uchovávaš rodné číslo
E-shopy predávajúce tovar s vekovou hranicou — tabak, vapeshopy, alkohol, pyrotechnika — sú zo zákona povinné overovať vek zákazníka. V praxi to znamená, že uchovávajú kópie dokladov totožnosti alebo rodné čísla. Z pohľadu kybernetickej bezpečnosti a ochrany osobných údajov ide o osobitnú kategóriu dát vyžadujúcu výrazne vyššiu úroveň ochrany.
Rodné číslo a číslo občianskeho preukazu sú v kombinácii s menom a adresou dostatočné na krádež identity — útočník ich môže použiť na uzatvorenie falošných zmlúv, čerpanie pôžičiek alebo falšovanie dokumentov v mene obete. Únik takejto databázy má pre dotknuté osoby oveľa závažnejšie dôsledky ako bežný leak e-mailových adries.
Tieto údaje by mali byť uchovávané oddelene od bežných objednávkových dát, šifrované štandardom AES-256, s prísne obmedzeným prístupom a len po dobu nevyhnutne nutnú na splnenie zákonnej povinnosti — nie natrvalo. Podľa GDPR je navyše pri spracúvaní takýchto údajov vo väčšine prípadov povinné vypracovanie posúdenia vplyvu na ochranu údajov (DPIA).
Čo s tým: Konzultácia s odborníkom na ochranu osobných údajov pred spustením takéhoto e-shopu nie je luxus — je to nevyhnutnosť. Technické opatrenia (šifrovanie, pseudonymizácia, obmedzenie prístupu) musia ísť ruka v ruke s právnou dokumentáciou.
Záver
E-shop nie je len webstránka s košíkom. Je to systém, ktorý denne spracúva osobné údaje stoviek alebo tisícok ľudí — a nesie za ne plnú zodpovednosť. Kybernetické hrozby v e-commerce nie sú nové, ale s nástupom AI nástrojov, rastúcim objemom citlivých dát a čoraz sofistikovanejšími útokmi sa situácia mení rýchlejšie ako kedykoľvek predtým.
Väčšine týchto hrozieb je možné predísť — ak sa k nim pristúpi skôr, ako sa stanú problémom. Naši klienti to potvrdzujú: systematický prístup ku kybernetickej bezpečnosti im pomohol odhaliť zraniteľnosti skôr, ako ich stihli využiť útočníci — a nielen v e-shopovom prostredí. Ak chcete vedieť, ako na tom je váš e-shop, radi vám pomôžeme. Kontaktujte nás.
