OpenCommerce Group và hành trình khắc phục lỗ hổng bảo mật

Giải pháp của CyStack giúp OpenCommerce Group tăng cường khả năng phát hiện và giải quyết các lỗ hổng bảo mật, bảo vệ thông tin quan trọng và tiết kiệm chi phí cho doanh nghiệp.

OpenCommerce Group là công ty công nghệ hàng đầu về cung cấp các giải pháp thương mại điện tử tại Việt Nam, được thành lập vào năm 2017. Với nền tảng công nghệ hiện đại và đội ngũ chuyên gia giàu kinh nghiệm, OpenCommerce Group đã tạo ra những sản phẩm và dịch vụ tối ưu, giúp các doanh nghiệp vận hành thương mại điện tử một cách hiệu quả và tiết kiệm chi phí.

Với sứ mệnh kết nối và tạo bệ phóng cho các doanh nghiệp thương mại điện tử và các thương hiệu trong – ngoài nước, OpenCommerce đã xây dựng một hệ sinh thái công nghệ tích hợp hành trình mua sắm trực tuyến. Đối với hình thức mua sắm xuyên biên giới, OpenCommerce đã tạo ra ShopBase.

ShopBase là một trong những nền tảng bán hàng Dropship hỗ trợ người bán hàng đầu tại Việt Nam, cung cấp giải pháp trọn gói từ xây dựng gian hàng online, đăng tải và tối ưu sản phẩm, tới xử lý đơn hàng. Để hỗ trợ tốt nhất cho nhà bán hàng, ShopBase cung cấp cả ứng dụng web và ứng dụng trên di động (Android và iOS).

Đối với các doanh nghiệp hoạt động trong lĩnh vực thương mại điện tử nói chung và OpenCommerce Group nói riêng, tấn công lỗ hổng bảo mật luôn là một trong những thử thách đáng lo ngại nhất. Việc mất an ninh mạng có thể dẫn đến những hậu quả đáng tiếc, từ sự mất mát dữ liệu quan trọng cho đến việc tiết lộ thông tin khách hàng, ảnh hưởng đến uy tín của doanh nghiệp.

Nhận thức được mối nguy hiểm tiềm tàng từ lỗ hổng bảo mật, OpenCommerce Group đã quyết định chọn giải pháp Vulnerability Management và Managed Bug Bounty từ CyStack để đảm bảo an toàn cho nền tảng thương mại điện tử ShopBase – một trong hai mảng chính trong hệ sinh thái của doanh nghiệp, được tạo ra với mục tiêu cải thiện trải nghiệm Drop Shipping và Print-On-Demand (POD) cho người mua và người bán.

Quản lý lỗ hổng bảo mật là quá trình xác định, ưu tiên và xử lý các lỗ hổng trong hệ thống và cơ sở hạ tầng mạng của khách hàng. Quy trình này giúp tổ chức ngăn chặn vi phạm bảo mật, bảo vệ thông tin nhạy cảm, hệ thống và cơ sở hạ tầng.

Dịch vụ Quản lý lỗ hổng bảo mật bao gồm:

• Đánh giá lỗ hổng bảo mật: CyStack đã phát triển CyStack Web Security (CWS), một công cụ quét và giám sát lỗ hổng dành cho các ứng dụng web. CWS hỗ trợ tổ chức trong việc quét tên miền phụ và địa chỉ IP trong mạng nội bộ, cùng việc phát hiện các lỗ hổng thông qua kỹ thuật fuzzing và cơ sở dữ liệu lỗ hổng bảo mật của CyStack. Ngoài ra, CWS cung cấp một nền tảng để quản lý, theo dõi, xác định mức độ ưu tiên và đề xuất cách xử lý cho các phát hiện. Hơn thế nữa, tổ chức có thể tích hợp CWS với các công cụ CI/CD và các công cụ quản lý hiệu suất khác.
• Kiểm thử xâm nhập: Hình thức mô phỏng cuộc tấn công an ninh mạng vào hệ thống, mạng lưới máy tính hoặc ứng dụng web nhằm phát hiện các lỗ hổng bảo mật có thể bị khai thác. Được thực hiện bởi các chuyên gia bảo mật, quá trình này sử dụng nhiều loại công cụ và kỹ thuật khác nhau để đánh giá mức độ bảo mật của môi trường cụ thể, từ đó, xác định những điểm yếu có thể bị tấn công.
• Chương trình săn lỗi nhận thưởng: Một hình thức bảo mật cộng đồng nhằm tôn vinh các hacker mũ trắng. Họ tham gia phát hiện và báo cáo các lỗ hổng bảo mật trong phần mềm hoặc hệ thống của doanh nghiệp. Các doanh nghiệp thiết lập các mức thưởng, có thể là tiền mặt, quà tặng lưu niệm hoặc các dạng ghi nhận khác, nhằm khuyến khích hacker mũ trắng tìm kiếm và thông báo về những lỗ hổng bảo mật họ phát hiện.

Sau khi tổ chức chương trình săn lỗi nhận thưởng trên nền tảng bảo mật doanh nghiệp WhiteHub, các chuyên gia tại CyStack đã làm việc cùng đội ngũ IT Security của ShopBase để xử lý các vấn đề bảo mật phát sinh hoặc còn tồn tại trên hệ thống ứng dụng, và đưa ra những giải pháp xử lý tốt nhất. Các chuyên gia CyStack tiến hành kiểm tra lại lần nữa để chắc chắn rằng các vấn đề được giải quyết triệt để, đảm bảo mức an toàn tối đa cho hệ thống ứng dụng ShopBase.

Thông qua chương trình săn lỗi nhận thưởng, tổng cộng 40 báo cáo đã được trao thưởng. Tổng giá trị phần thưởng đạt mức 80,000,000 VND, trong đó phần thưởng cao nhất trị giá 4,000,000 VND.

Tổng số lỗ hổng được phát hiện: 8 critical, 32 high, 36 medium, 17 low và 4 info.

Chúng tôi đã khắc phục các vấn đề:

• 39 lỗi Stored XSS.
• 13 lỗi Insecure Direct Object References (IDOR).

CyStack đã thực hiện đánh giá mức độ nghiêm trọng của từng lỗ hổng trong hệ thống của team ShopBase, hỗ trợ xác định thứ tự ưu tiên cho quá trình khắc phục. Điều này giúp ShopBase tối ưu hóa quá trình khắc phục lỗ hổng và giảm thiểu rủi ro một cách hiệu quả.

Ngoài ra, chúng tôi đã tư vấn giải pháp cho các lỗ hổng mang tính toàn hệ thống, đặc biệt là những vấn đề liên quan đến thiết kế không an toàn. Bằng cách này, chúng tôi hỗ trợ ShopBase xây dựng một hệ thống bảo mật mạnh mẽ và có hiệu suất tốt hơn.

Cuối cùng, chúng tôi tiến hành tái đánh giá kỹ càng các lỗ hổng đã được khắc phục, tìm kiếm mọi khả năng để bypass trước khi kết luận rằng lỗ hổng đã được khắc phục hoàn toàn. Quá trình này đảm bảo rằng mọi biện pháp đều được kiểm tra và đánh giá một cách toàn diện trước khi hệ thống được coi là an toàn.

CyStack là công ty an ninh mạng tại Việt Nam được thành lập từ năm 2017. Chúng tôi cung cấp các giải pháp toàn diện, bao gồm thử nghiệm, tư vấn bảo mật và dịch vụ quản lý. Với hơn 200 doanh nghiệp và 20,000 người dùng trên toàn thế giới, chúng tôi được công nhận là đối tác đáng tin cậy của các tổ chức và là công ty mạnh mẽ hàng đầu về nghiên cứu và phát triển an ninh mạng.

Thông tin chi tiết, vui lòng truy cập: https://cystack.net/

“Chúng tôi đánh giá cao vai trò của việc quản lý lỗ hổng bảo mật và hiểu rõ rằng đây là việc cần thiết đối với một doanh nghiệp chuyên nghiệp.” – Ông Trường Bùi, CTO OpenCommerce Group.

“CyStack đã chứng tỏ sự tận tâm và chuyên nghiệp tuyệt vời khi hỗ trợ cho chúng tôi trong việc quản lý sự cố, khắc phục lỗi và tư vấn về quy trình một cách triệt để.” – Ông Trường Bùi, CTO OpenCommerce Group.

“Các researcher tại WhiteHub trẻ tuổi, tận tâm và chuyên nghiệp, sẵn sàng hỗ trợ liên tục 24/7. Với số lượng researcher lớn, việc phát hiện lỗ hổng được thực hiện một cách nhanh chóng và dễ dàng. Bên cạnh đó, kiến thức của họ cũng được chúng tôi đánh giá cao.” – Ông Trường Bùi, CTO OpenCommerce Group.