Недавний случай взлома известной платформы не будет единичным. Такие сервисы всегда интересовали злоумышленникам. Но с их атаками можно и нужно бороться. Расскажем как это происходит в inqoob.
Чем опасны атаки на конструкторы чат-ботов?
Использование любого конструктора является рискованным, особенно для бизнеса. Ведь компания доверяет сервису данные, в том числе и конфиденциальные. Платформа с чат-ботами – желанное место для хакеров, потому что там хранятся токены. Как банки отвечают за деньги клиентов, мы бережем токены своих пользователей.
В распоряжении платформы множество ботов. Некоторые из них менее интересны из-за маленького количества подписчиков. Есть и те, у которых в базе сотни тысяч человек. Это канал для активной коммуникации с большой аудиторией. Такие популярные боты находятся сейчас в группе риска. Стоит сказать, что положение вещей касается любых площадок. Постоянно ломают сотовых операторов и популярные соцсети. Неважно, чем вы владеете популярным блогом или чат-ботом. На вас лежит ответственность за информацию, которую вы распространяете. Чтобы не подвести свою аудиторию тщательно выбирайте сервисы, на которых содержаться и обслуживаются каналы связи с вашей аудиторией.
Зачем взламывают чат-боты?
Обычно это происходит по двум причинам, чтобы украсть деньги или завладеть информационным каналом. Однако сам информационный канал злоумышленники могут использовать, что забирать деньги его подписчиков. Если у вас есть доступ к аудитории, которая вам доверяет, ваш канал может стать лакомым куском для хакеров с любыми целями взлома.
Например, от имени какого-то авторитетного бренда хакеры могут делать рассылку с политическими лозунгами или призывом перевести деньги на «благие» цели. Также после взлома можно настроить прием оплаты от покупателей бренда на сторонний счет. При этом сам интерфейс сервиса никак не изменится, просто произойдет смена кошельков, и все транзакции будут уходить в другое место.
Система безопасности inqoob.
Способы защиты зависят от конкретной ситуации. Это может быть атака на сервер, базы данных и множество других. Даже крупные сервисы, мессенджеры и другие площадки, вооруженные различными системами безопасности, постоянно взламывают. Такие гиганты, как WordPress всегда под прицелом.
Вот какие контуры безопасности есть в inqoob.
Возврат токена.
Злоумышленники могут отключить токены пользователей платформы и перевести их в распоряжение других ботов или платформ.
В inqoob в таком случае срабатывает тайм аут. То есть, в течение нескольких минут отвязанный токен автоматически возвращается на платформу. Если токен отвязывает сам пользователь, то он должен подтвердить свои действия, ответив на уведомление inqoob. Авторизация через другое устройство или из другого региона также требует подтверждения. И платформа обязательно уведомляет пользователя об этом.
Шифрование токена.
Это происходит по принципу двухфакторной авторизации, которая защищает данные пользователей Фейсбук. Пользователь получает токен от мессенджера и вставляет его специальную форму в конструкторе, чтобы опубликовать бота. Тогда генерируется SECRET key. Секретный ключ представляет из себя уникальное цифровое и буквенное значение, которое создатель бота должен сохранить. Когда хакеры захотят присвоить токен любого бота, сделанного на платформе inqoob, то они не смогут его обнаружить без ключа.
Смысловой барьер.
Эту меру помогают осуществлять нейронные сети. Создатели чат-бота могут с самого начала выбрать тематические рамки для контента, фигурирующего в диалогах. Если произойдет массовая рассылка информации, которая противоречит цензу, то она заблокируется платформой. Данные о фильтрации контента поступят владельцу бота, и дальнейшие действия программы будут осуществляться только с его согласия. Подобные меры будут применяться также к подозрительным сценариям бота, которые не являются основными и добавляются к структуре.
Микросервисная структура.
У inqoob микросервисная структура, в которой каждый узел работает практически автономно. Такая архитектура не только более стабильна к сбоям, но и более устойчива к проникновению. Например, мы вывели платежные системы в отдельную ветку и дополнительно обезопасили. Благодаря перераспределению задач, можно избежать серьезных потерь при атаках. Выход из строя одного узла не повлияет на работоспособность остальных команд.
Тестирование на проникновение.
По мере роста и развития нашей платформы мы наращиваем опыт сдерживания атак, укрепляем защиту, регулярно тестируем конструктор. Большую помощь мы получаем от независимых тестировщиков из закрытого чата, который мы сформировали еще в начале бета-тестирования.
Перед выходом новой версии платформы или каждого обновления, мы проводим комплексное тестирование по этапам:
- Функциональный тест;
- Интеграционный тест;
- Нагрузочный тест;
- Регрессионный или автоматизированный тест;
- Тест на проникновение.
Для тестирования уязвимостей и дальнейшей их локализации, мы используем профессиональный софт. Начиная от разновидностей инъекций и заканчивая поиском back door в коде. Весь топ 10 уязвимостей веб-приложений мы берем на вооружение.
Подведем итоги.
Ни одна платформа или сервис в мире не защищены от взлома на 100%. Каждый из них должен чувствовать ответственность перед своими пользователями. Команда inqoob вкладывает в безопасность много средств и времени. Планируем держать этот курс и в дальнейшем. Мы делаем все, чтобы пользователи не только легко монетизировали свои идеи с помощью инструментов платформы, но и чувствовали себя в ее поле безопасно.