STUDIUM PRZYPADKU // BEZPIECZENSTWO HANDLU ELEKTRONICZNEGO

Marka e-commerce — Bezpieczeństwo & Ocena Ekspozycji Cyfrowej

Szczegółowa pasywna ocena europejskiej firmy handlowej wykazała 23 luki w zabezpieczeniach, 14,7MB publicznie dostępny dziennik debugowania, narażone repozytoria kodu źródłowego, wyciekłe poświadczenia API oraz kompletny opis struktury organizacyjnej — wszystko z publicznych danych.

Sektor: Handel elektroniczny / MerchandisingZakres: Pełna Ocena ZewnętrznaMetoda: Pasywna + Nieinwazyjna

Znalezione zagrożenia

14,7MB

Wyciek dziennika debugowania

Zmapowane poddomeny

332

Połączone konta (personel)

Streszczenie wykonawcze

Europejska firma zajmująca się merchandisingiem, prowadząca wiele domen e-commerce, została poddana ocenie wydatków bezpieczeństwa zewnętrznych. Firma utrzymuje obecność internetową opartą na WordPressie na komercyjnym hostingu współdzielonym, z wieloma poddomenami obsługującymi różne funkcje biznesowe, w tym platformę zamawiania tkanin B2B oraz sklepy internetowe specyficzne dla marki.

Ocena wykazała 23 przypadki bezpieczeństwa w 4 poziomach skali ważności, w tym publicznie dostępny dziennik debugowania zawierający ponad 62 000 linii wewnętrznych serwerów, narażony repozytorium Git na serwerze produkcyjnym, wyciekające poświadczenia API B2B w zarchiwizowanych adresach URL, zero nagłówków bezpieczeństwa na wszystkich zasobach oraz konfigurację domeny e-mail umożliwiającą trywialne oszustwo. Pracownicy zostali zidentyfikowani za pomocą wielu wektorów OSINT, z 332 połączonymi kontami online przyporządkowanymi do organizacji.

Wyzwanie

Obiekt przedstawiał się jako przedsiębiorstwo z sektora średniego zasięgu europejskiej z wieloma własnościami sieciowymi, integracjami B2B oraz międzynarodową e-commerce. Celem audytu było zmapowanie pełnego zewnętrznego cyfrowego śladu i zidentyfikowanie ryzyk bezpieczeństwa, które mogłyby zostać wykorzystane przez przeciwników – wszystko poprzez pasywne obserwowanie danych publicznie dostępnych.

Kluczowe Znaleziska

Znalezisko	Poważność	Wpływ
14,7MB logu debugowania publicznie dostępnych — ponad 62 000 linii zawierających ścieżki serwerów, inwentaryzację wtyczek, identyfikatory klientów i pełne śladu błędów	KRYTYCZNY	Pełne ujawnienie wewnętrznej architektury
Aktywne wyliczanie użytkowników WordPress na wszystkich właściwościach — ujawnienie nazw użytkowników administratorów i adresów e-mail za pośrednictwem REST API	KRYTYCZNY	Włączenie ataków siłowych
Brak nagłówków zabezpieczeń na wszystkich domenach — brak HSTS, CSP, X-Frame-Options ani X-Content-Type-Options	KRYTYCZNY	Zatargi XSS, clickjacking i MIME sniffing
Obecność repozytorium Git na serwerze produkcyjnym (katalog .git dostępny)	KRYTYCZNY	Jedna konfiguracja błędna prowadzi do pełnego ujawnienia kodu źródłowego
Brak zabezpieczeń e-mail — DMARC ustawiony na „none”, DKIM nie skonfigurowany, SPF korzysta z soft-fail	KRYTYCZNY	Możliwe oszustwa domenowe i phishing
Komponenty CMS znacznie przestarzałe — konstruktor stron o 12+ wersji w tyle znanymi lukami CVE	WYSOKI	Ryzyko wykonania kodu zdalnego i XSS
Serwer FTP i przestarzały SSH wystawiony na internet na drugim hoście	WYSOKI	Interceptowanie poświadczeń, znane luki SSH
Token API B2B i adres e-mail pracownika ujawnione w zarchiwizowanych adresach URL	ŚREDNI	Nieautoryzowany dostęp do platformy B2B
Martwy poddomena wskazująca na zewnętrzną platformę — ryzyko przejęcia subdomeny	NISKI	Potencjał oszustwa w imieniu marki

Analiza dziennika debugowania

Najważniejszym odkryciem był publicznie dostępny dziennik debugowania WordPressa o wielkości 14,7 MB bez wymagania uwierzytelnienia. Analiza jego 62 000+ linii ujawniła:

Architektura serwera: Pełne ścieżki plików systemu, w tym identyfikator klienta dostawcy hostingu, struktura katalogu głównego dokumentów oraz potwierdzenie typu hostingu. Inwentarz wtyczek: Zidentyfikowano 14+ wtyczek z liczbą błędów — w tym jedną przestarzałą wtyczkę generującą 44 000+ błędów oraz inną wytwarzającą błędy krytyczne z powodu niekompatybilności wersji. Zestaw technologiczny: Nazwa motywu, źródło zakupu (rynek), konfiguracja motywu podrzędnego oraz konfiguracja wielojęzyczna. Inteligencja biznesowa: Wzorce błędów ujawniły aktywne prace nad rozwojem, przepływy pracy zarządzania treścią oraz punkty integracji z zewnętrznymi usługami.

Jeden plik, pełna ekspozycja: Jeden dziennik debugowania — typowa pomyłka konfiguracyjna w WordPressie — dostarczył więcej informacji o wewnętrznej architekturze celu niż wszystkie inne wektory rozpoznania łącznie. To wzorzec, który widzimy wielokrotnie: najczęściej szkodliwe ujawnienia to proste pomyłki konfiguracyjne.

Inteligencja organizacyjna

Poprzez korelację danych użytkowników WordPressa, analizę wzorców adresów e-mail, ekstrakcję metadanych obrazu oraz wyliczanie kont na platformach, ocena odwzorowała pełną strukturę organizacyjną:

4 osoby zidentyfikowane według roli — dyrektorzy, twórcy treści oraz kontrahenci zewnętrzni — z 332 połączonymi kontami online na platformach profesjonalnych, mediach społecznościowych, usługach płatności i narzędziach do zarządzania projektami. Metadane obrazu z logo firmy ujawniły używane narzędzie do projektowania, imię twórcy oraz identyfikator konta na platformie reklamowej wraz z datami kampanii. Analiza historycznych URL-ów udokumentowała zmiany kierunku działalności firmy w ciągu ponad 6 lat — od Merchandise sportowego przez artykuły medyczne aż do obecnych operacji marki.

Mapa infrastruktury

Ocena wykryła 9 poddomen rozmieszczonych na 4 różnych adresach IP w 3 dostawcach hostingu. Główne domeny korzystały ze wspólnego komercyjnego adresu IP hostingu. Platforma B2B tekstylna działała na oddzielnym serwerze testowym z certyfikatem SSL ujawniającym wewnętrzną nazwę hosta środowiska testowego. Serwer FTP działał na trzecim hoście z przestarzałym SSH. Czwarta poddomena wskazywała na nieczynny sklep internetowy trzeciej strony, tworząc szansę na przejęcie poddomeny.

Wynik

Pełny audyt został złożony w strukturalny raport bezpieczeństwa z 18 priorytetyzowanych kroków korygujących — od natychmiastowych działań (usuń wyeksponowany dziennik debugowania, zablokuj wyliczanie użytkowników, dodaj nagłówki bezpieczeństwa) przez pilne naprawy (zaktualizuj przestarzałe komponenty CMS, usuń katalog Git, skonfiguruj uwierzytelnianie e-mail) do średniookresowych ulepszeń (przejdź z hostingu współdzielonego, zamknij dostęp FTP, rozwiąż martwe poddomeny).

Uwaga metodyologiczna

Ta ocena połączyła techniki pasywnej analizy OSINT (analiza DNS, przejrzystość certyfikatów, zbieranie historycznych URL-i, wyliczanie kont, ekstrakcja metadanych) z skanowaniem nieintruzywnym (dopasowanie wzorców luk w zabezpieczeniach, identyfikacja portów, wykrywanie WAF). Nie przeprowadzono eksploatacji, nie testowano poświadczeń, a żadne systemy nie zostały z dostępem poza treści udostępnione publicznie.

Czy Twoja marka e-commerce jest narażona?

Zamów darmową ocenę, aby odkryć, co Twoje własności sieciowe ukazują światu zewnętrznemu.