Лента новостей
Вторая волна COVID-19 не наступит: как отреагирует криптовалютный рынок 18:00, Крипто «Флэт биткоина очень скоро закончится». Дневник трейдера #27 18:00, Крипто СК назвал имена убитых предпринимателей из дела Фургала 17:42, Общество В Совфеде заявили об отсутствии необходимости переносить день голосования 17:38, Политика Кремль назвал голословными обвинения Лондона в краже данных о вакцине 17:32, Политика Берлин ответил на угрозы Помпео участникам «Северного потока-2» 17:31, Политика В меню KFC появится куриное мясо из 3D-биопринтера 17:31, Стиль СМИ узнали о предложенных «Локомотивом» €7 млн за игрока сборной Уругвая 17:17, Спорт Обязанности президента ВФЛА будет исполнять Алексей Плотников 17:15, Спорт Фондовый рынок Китая закрылся падением. Это важно для биткоина 17:14, Крипто Серебряная пуля: как IT поможет компаниям справиться с кризисом 17:01, РБК и Яндекс.Облако Заявление группы компаний РБК о суде с «Роснефтью» по иску на ₽43 млрд 17:00, Общество Домашний фитнес: как запустить сервис онлайн-тренировок в период пандемии 17:00, Экономика инноваций  Акции Dell подскочили на 15% из-за планов по реструктуризации бизнеса 16:56, Инвестиции Защита не нашла свидетельств вины Сафронова в секретных документах 16:50, Общество Музей Москвы устроит выставку о самоизоляции с помощью горожан 16:49, Стиль Автомобили из фильма «Однажды в... Голливуде» продадут с аукциона 16:27, Стиль Лановой предложил перенести шествие «Бессмертного полка» на следующий год 16:27, Общество Британия обвинила Россию в попытке украсть данные по вакцине от COVID-19 16:26, Технологии и медиа Бизнес сообщил о сбоях при въезде в Россию иностранных специалистов 16:26, Бизнес МИД Британии обвинил Россию в попытке вмешательства в выборы 16:22, Политика Власти усилят контроль за импортом томатов из-за новых вирусов 16:19, Бизнес HumanIPO: выходцы из России запустили биржу, где торгуется время людей 16:12, Стиль Минобороны Азербайджана пригрозило ракетным ударом по АЭС в Армении 16:09, Политика Штабы соперников Лукашенко решили объединить усилия на выборах 16:06, Политика Президент Азербайджана снял с должности главу МИДа 16:05, Политика В Питер на выходные: пять необычных квартир в аренду 16:04, Недвижимость Губернаторы оценили идею ввести «арктический гектар» 16:02, Бизнес
Газета
33 веб-несчастья
Газета № 022 (2977) (0503) Технологии и медиа,
0

33 веб-несчастья

Эксперты Positive Technologies зафиксировали рост онлайн-приложений с уязвимостями
Доля веб-приложений с уязвимостями, которые могут привести к краже данных пользователей, за год увеличилась с 70 до 79%. Количество разрабатываемых приложений растет быстрее, чем количество квалифицированных программистов
Фото: Максим Богодвид / РИА Новости
Фото: Максим Богодвид / РИА Новости

По итогам 2018 года у 79% веб-приложений были выявлены уязвимости, которые могут приводить к утечке данных пользователей, говорится в ежегодном исследовании компании Positive Technologies (специализируется на кибербезопасности). К веб-приложениям могут относиться, например, личные кабинеты банков и сотовых операторов, интернет-магазины, сайты госорганов, вход на которые осуществляется с указанием персональных данных. В предыдущие годы доля сайтов с потенциальными рисками была ниже: в 2017-м — 70%, в 2016-м — 60%.

Что и как анализировали

​В рамках исследования специалисты Positive Technologies проанализировали российские веб-приложения трех категорий. Большая часть (53%) — это коммерческие ресурсы: официальные сайты компаний, личные кабинеты пользователей сферы услуг и интернет-торговли. Еще 28% приложений расположены на корпоративных ресурсах компаний (личные кабинеты для партнеров компании, порталы закупок, внутренние системы для обучения сотрудников, для работы с клиентами и т.д.). Оставшиеся 19% — это информационные ресурсы, к которым относятся госпорталы, новостные сайты, социальные медиаресурсы. Отчет также содержит результаты исследования 43 полнофункциональных веб-приложений, для которых в 2018 году проводился углубленный анализ, они принадлежали компаниям финансового сектора (28​%), телекома (14%), промышленности (14%), транспорта (11%), госсектора (9%), ИT (9%), интернет-торговли (4%), СМИ (4%) и из других сфер (7%). Какие именно — в Positive Technologies не раскрывают.

Чем опасны уязвимости веб-приложений для их владельцев и пользователей, разбирался РБК.

Видео: РБК
Видео: РБК

Наиболее распространенные уязвимости

В среднем на одно веб-приложение приходится 33 критически опасные уязвимости, что в три раза больше, чем по итогам 2017 года, говорится в исследовании. Всего же эксперты выявили 70 различных недостатков систем.

  • Наиболее распространенной уязвимостью аналитики назвали «межсайтовое выполнение сценариев». Этот недостаток систем позволяет злоумышленникам создавать копии страниц для сбора данных пользователей. «Данная уязвимость базируется на недостаточной проверке источника, отправляющего на сайт запрос на авторизацию. В итоге пользователь, отправив запрос, получает поддельную страницу, вводит данные, которые попадают к злоумышленнику. Поддельный сервис при этом вводит данные в настоящую форму, а пользователь ничего не замечает», — пояснил РБК представитель ГК InfoWatch, также специализирующейся на информационной безопасности.
  • Примерно в 80% веб-приложений эксперты обнаружили «ошибки конфигурации», когда система самого сайта раскрывает в своих стандартных параметрах информацию о пользовательском ПО и путях его установки, что дает возможность собрать информацию для дальнейшей атаки.

В основном уязвимости ищут в тех приложениях, которые представляют финансовый интерес, и те, на взлом которых нужно меньше времени, сказал РБК руководитель департамента интеграции системных решений Group-IB Антон Фишман. «Соответственно, наиболее очевидной мишенью становятся форумы и интернет-магазины, которые используют единые системы управления контентом. Это также социальные сети и порталы крупных компаний и интернет-гигантов», — пояснил эксперт.

Почему веб-приложения становятся все менее безопасными

Бизнес-консультант по безопасности Cisco Systems Алексей Лукацкий считает, что причиной увеличения количества уязвимых веб-приложений может быть снижение качества программирования. «Потребность в программистах сейчас большая, а из-за нехватки кадров от соискателей в основном требуют просто умения программировать, а не умения делать это безопасно», — пояснил он.

Вице-президент ГК InfoWatch Рустэм Хайретдинов согласен, что количество разрабатываемых приложений растет быстрее, чем количество квалифицированных программистов. «Для того чтобы быть успешным сейчас, бизнесу надо запускать новые сервисы быстрее конкурентов, а также тестировать гипотезы. Таким образом, сильно сокращается время на тестирование, и безопасностью приложения часто жертвуют в пользу скорости запуска новой функциональности», — уверен он.

По словам Антона Фишмана, даже гиганты индустрии могут допускать ошибки в части безопасности. «Вспомним Facebook, в прошлом году неоднократно становившийся участником скандалов, один из которых как минимум был связан именно со взаимной работой двух компонентов, где забыли про безопасность», — отметил эксперт. Кроме того, многие сервисы пишутся с использованием общих шаблонов, что делает их более уязвимыми и привлекательными для хакеров, добавил он.

Какие данные попадают к хакерам

Утечки важной информации наблюдались в 2018 году во всем мире, отмечается в исследовании Positive Technologies. В целом персональная информация пользователей хранится в 91% приложений. В 46% утечек скомпрометированными оказываются учетные данные, в 19% случаев — персональные данные пользователей, в 3% — данные банковских карт.

«Если говорить о персональных данных, то в зависимости от конкретного типа приложения в руки злоумышленников могут попасть Ф.И.О., адреса проживания, номера телефонов, платежная информация, номера различных документов (например, паспорта). Утекать могут и личные фотографии или переписка», — отметила аналитик информационной безопасности Positive Technologies Яна Авезова.

По ее словам, утечка учетных записей грозит пользователям потерей их аккаунтов и кражей всей информации, которая в них хранится. Кроме того, учетные данные могут использоваться злоумышленниками для выполнения действий от имени законных владельцев взломанных аккаунтов. «Такого рода данные могут быть использованы злоумышленниками впоследствии для социальной инженерии, когда, к примеру, представляясь сотрудниками различных компаний, злоумышленники оперируют реальными данными клиентов и вводят последних в заблуждение, подталкивая их к совершению тех или иных ошибочных действий», — сказала Яна Авезова.

При этом, по ее словам, объем и разнообразие персональных данных со временем будут только расти. «Многие поставщики услуг собирают сведения о своих пользователях, стремясь повысить качество поставляемого сервиса в условиях конкурентного рынка. Пользователи, в свою очередь, зачастую охотно соглашаются предоставить данные о себе взамен на скидку при покупке продукта или услуги», — пояснила она.

Злоумышленники используют слабые места веб-приложений не только для хищения персональных данных, но и для взлома систем, принадлежащих владельцам сайтов. По данным аналитиков, в 19% веб-приложений были найдены уязвимости, позволяющие получить контроль над операционной системой всего сервера. Веб-приложения — это относительно легкий и очень популярный способ получить доступ к внутренним системам компании, отметил Алексей Лукацкий. «Злоумышленник может запустить определенный скрипт (программа или программный файл, автоматически исполняющий тот или иной сценарий без ручного использования интерфейса программы) внутри веб-приложения, который может дать ему права администратора, а в дальнейшем позволит проникнуть на сервер и в базы данных компании», — рассказал он.

Как защитить свои данные

Чтобы обезопасить свои данные, необходимо соблюдать правила кибергигиены: не сообщать никому свои пароли и конфиденциальную информацию, не хранить их в открытом доступе, а также следить за тем, чтобы не попадаться на фишинг (поддельные страницы), объяснил Хайретдинов. «Но даже при соблюдений всех этих правил при пользовании веб-приложениями риски утечек данных пользователей или взлома устройства остаются, если оператор услуг уделяет недостаточно внимания вопросам безопасности», — отметил он.

Следующие меры предосторожности помогут минимизировать ущерб, рассказал Фишман.

  • Во-первых, это регистрация отдельного почтового ящика, через который проводится аутентификация на сервисах, чтобы основной e-mail не попадал в листы рассылки спама.
  • Эксперт также посоветовал не использовать одни и те же пароли на разных сайтах — тогда компрометация одного портала не приведет ко взлому учетной записи на других площадках или в интернет-приложениях.
  • Не стоит также оставлять на сайтах лишнюю информацию о себе —​ указывать нужно только необходимые данные. Кроме того, в случае наличия у неспециализированного приложения функционала отправки им сообщений в рамках его работы пользоваться им следует осторожно — не передавать через него никаких важных файлов и паролей.
  • Для оплаты на различных площадках лучше использовать виртуальные карты — на них можно положить деньги непосредственно перед оплатой. Соответственно, даже если она попадет в руки злоумышленников, вы не пострадаете.