05.03.2019, 12:50
Количество просмотров 94

Около 80% приложений не защищены от утечек данных

Исследование компании Positive Technologies показало, что по итогам 2018 года 79% web-приложений имеют уязвимости, которые могут приводить к утечке данных пользователей.
Около 80% приложений не защищены от утечек данных

К веб-приложениям могут относиться, например, личные кабинеты банков и сотовых операторов, интернет-магазины, сайты госорганов, вход на которые осуществляется с указанием персональных данных. В предыдущие годы доля сайтов с потенциальными рисками была ниже: в 2017-м — 70%, в 2016-м — 60%.

​В рамках исследования специалисты Positive Technologies проанализировали российские веб-приложения трех категорий. Большая часть (53%) — это коммерческие ресурсы: официальные сайты компаний, личные кабинеты пользователей сферы услуг и интернет-торговли. Еще 28% приложений расположены на корпоративных ресурсах компаний (личные кабинеты для партнеров компании, порталы закупок, внутренние системы для обучения сотрудников, для работы с клиентами и т.д.). Оставшиеся 19% — это информационные ресурсы, к которым относятся госпорталы, новостные сайты, социальные медиаресурсы. Отчет также содержит результаты исследования 43 полнофункциональных веб-приложений, для которых в 2018 году проводился углубленный анализ, они принадлежали компаниям финансового сектора (28​%), телекома (14%), промышленности (14%), транспорта (11%), госсектора (9%), ИT (9%), интернет-торговли (4%), СМИ (4%) и из других сфер (7%).

В среднем на одно веб-приложение приходится 33 критически опасные уязвимости, что в три раза больше, чем по итогам 2017 года, говорится в исследовании. Всего же эксперты выявили 70 различных недостатков систем.

Наиболее распространенной уязвимостью аналитики назвали «межсайтовое выполнение сценариев». Этот недостаток систем позволяет злоумышленникам создавать копии страниц для сбора данных пользователей.

Примерно в 80% веб-приложений эксперты обнаружили «ошибки конфигурации», когда система самого сайта раскрывает в своих стандартных параметрах информацию о пользовательском ПО и путях его установки, что дает возможность собрать информацию для дальнейшей атаки.

Утечки важной информации наблюдались в 2018 году во всем мире, отмечается в исследовании Positive Technologies. В целом персональная информация пользователей хранится в 91% приложений. В 46% утечек скомпрометированными оказываются учетные данные, в 19% случаев — персональные данные пользователей, в 3% — данные банковских карт.

«Если говорить о персональных данных, то в зависимости от конкретного типа приложения в руки злоумышленников могут попасть Ф.И.О., адреса проживания, номера телефонов, платежная информация, номера различных документов (например, паспорта). Утекать могут и личные фотографии или переписка», — отметила аналитик информационной безопасности Positive Technologies Яна Авезова.

По ее словам, утечка учетных записей грозит пользователям потерей их аккаунтов и кражей всей информации, которая в них хранится. Кроме того, учетные данные могут использоваться злоумышленниками для выполнения действий от имени законных владельцев взломанных аккаунтов.

«Такого рода данные могут быть использованы злоумышленниками впоследствии для социальной инженерии, когда, к примеру, представляясь сотрудниками различных компаний, злоумышленники оперируют реальными данными клиентов и вводят последних в заблуждение, подталкивая их к совершению тех или иных ошибочных действий», — сказала Я. Авезова.

При этом, по ее словам, объем и разнообразие персональных данных со временем будут только расти. «Многие поставщики услуг собирают сведения о своих пользователях, стремясь повысить качество поставляемого сервиса в условиях конкурентного рынка. Пользователи, в свою очередь, зачастую охотно соглашаются предоставить данные о себе взамен на скидку при покупке продукта или услуги», — пояснила она.

Злоумышленники используют слабые места веб-приложений не только для хищения персональных данных, но и для взлома систем, принадлежащих владельцам сайтов. По данным аналитиков, в 19% веб-приложений были найдены уязвимости, позволяющие получить контроль над операционной системой всего сервера.

По материалам РБК

Рубрика:
{}Безопасность
PLUSworld в соцсетях:
telegram
vk
youtube

ТАКЖЕ ПО ТЕМЕ