По итогам 2018 года у 79% веб-приложений были выявлены уязвимости, которые могут приводить к утечке данных пользователей, говорится в ежегодном исследовании компании Positive Technologies (специализируется на кибербезопасности). К веб-приложениям могут относиться, например, личные кабинеты банков и сотовых операторов, интернет-магазины, сайты госорганов, вход на которые осуществляется с указанием персональных данных. В предыдущие годы доля сайтов с потенциальными рисками была ниже: в 2017-м — 70%, в 2016-м — 60%.
В рамках исследования специалисты Positive Technologies проанализировали российские веб-приложения трех категорий. Большая часть (53%) — это коммерческие ресурсы: официальные сайты компаний, личные кабинеты пользователей сферы услуг и интернет-торговли. Еще 28% приложений расположены на корпоративных ресурсах компаний (личные кабинеты для партнеров компании, порталы закупок, внутренние системы для обучения сотрудников, для работы с клиентами и т.д.). Оставшиеся 19% — это информационные ресурсы, к которым относятся госпорталы, новостные сайты, социальные медиаресурсы. Отчет также содержит результаты исследования 43 полнофункциональных веб-приложений, для которых в 2018 году проводился углубленный анализ, они принадлежали компаниям финансового сектора (28%), телекома (14%), промышленности (14%), транспорта (11%), госсектора (9%), ИT (9%), интернет-торговли (4%), СМИ (4%) и из других сфер (7%). Какие именно — в Positive Technologies не раскрывают.
Чем опасны уязвимости веб-приложений для их владельцев и пользователей, разбирался РБК.
В среднем на одно веб-приложение приходится 33 критически опасные уязвимости, что в три раза больше, чем по итогам 2017 года, говорится в исследовании. Всего же эксперты выявили 70 различных недостатков систем.
Наиболее распространенной уязвимостью аналитики назвали «межсайтовое выполнение сценариев». Этот недостаток систем позволяет злоумышленникам создавать копии страниц для сбора данных пользователей. «Данная уязвимость базируется на недостаточной проверке источника, отправляющего на сайт запрос на авторизацию. В итоге пользователь, отправив запрос, получает поддельную страницу, вводит данные, которые попадают к злоумышленнику. Поддельный сервис при этом вводит данные в настоящую форму, а пользователь ничего не замечает», — пояснил РБК представитель ГК InfoWatch, также специализирующейся на информационной безопасности.
Примерно в 80% веб-приложений эксперты обнаружили «ошибки конфигурации», когда система самого сайта раскрывает в своих стандартных параметрах информацию о пользовательском ПО и путях его установки, что дает возможность собрать информацию для дальнейшей атаки.
В основном уязвимости ищут в тех приложениях, которые представляют финансовый интерес, и те, на взлом которых нужно меньше времени, сказал РБК руководитель департамента интеграции системных решений Group-IB Антон Фишман. «Соответственно, наиболее очевидной мишенью становятся форумы и интернет-магазины, которые используют единые системы управления контентом. Это также социальные сети и порталы крупных компаний и интернет-гигантов», — пояснил эксперт.
Бизнес-консультант по безопасности Cisco Systems Алексей Лукацкий считает, что причиной увеличения количества уязвимых веб-приложений может быть снижение качества программирования. «Потребность в программистах сейчас большая, а из-за нехватки кадров от соискателей в основном требуют просто умения программировать, а не умения делать это безопасно», — пояснил он.
Вице-президент ГК InfoWatch Рустэм Хайретдинов согласен, что количество разрабатываемых приложений растет быстрее, чем количество квалифицированных программистов. «Для того чтобы быть успешным сейчас, бизнесу надо запускать новые сервисы быстрее конкурентов, а также тестировать гипотезы. Таким образом, сильно сокращается время на тестирование, и безопасностью приложения часто жертвуют в пользу скорости запуска новой функциональности», — уверен он.
По словам Антона Фишмана, даже гиганты индустрии могут допускать ошибки в части безопасности. «Вспомним Facebook, в прошлом году неоднократно становившийся участником скандалов, один из которых как минимум был связан именно со взаимной работой двух компонентов, где забыли про безопасность», — отметил эксперт. Кроме того, многие сервисы пишутся с использованием общих шаблонов, что делает их более уязвимыми и привлекательными для хакеров, добавил он.
Утечки важной информации наблюдались в 2018 году во всем мире, отмечается в исследовании Positive Technologies. В целом персональная информация пользователей хранится в 91% приложений. В 46% утечек скомпрометированными оказываются учетные данные, в 19% случаев — персональные данные пользователей, в 3% — данные банковских карт.
«Если говорить о персональных данных, то в зависимости от конкретного типа приложения в руки злоумышленников могут попасть Ф.И.О., адреса проживания, номера телефонов, платежная информация, номера различных документов (например, паспорта). Утекать могут и личные фотографии или переписка», — отметила аналитик информационной безопасности Positive Technologies Яна Авезова.
По ее словам, утечка учетных записей грозит пользователям потерей их аккаунтов и кражей всей информации, которая в них хранится. Кроме того, учетные данные могут использоваться злоумышленниками для выполнения действий от имени законных владельцев взломанных аккаунтов. «Такого рода данные могут быть использованы злоумышленниками впоследствии для социальной инженерии, когда, к примеру, представляясь сотрудниками различных компаний, злоумышленники оперируют реальными данными клиентов и вводят последних в заблуждение, подталкивая их к совершению тех или иных ошибочных действий», — сказала Яна Авезова.
При этом, по ее словам, объем и разнообразие персональных данных со временем будут только расти. «Многие поставщики услуг собирают сведения о своих пользователях, стремясь повысить качество поставляемого сервиса в условиях конкурентного рынка. Пользователи, в свою очередь, зачастую охотно соглашаются предоставить данные о себе взамен на скидку при покупке продукта или услуги», — пояснила она.
Злоумышленники используют слабые места веб-приложений не только для хищения персональных данных, но и для взлома систем, принадлежащих владельцам сайтов. По данным аналитиков, в 19% веб-приложений были найдены уязвимости, позволяющие получить контроль над операционной системой всего сервера. Веб-приложения — это относительно легкий и очень популярный способ получить доступ к внутренним системам компании, отметил Алексей Лукацкий. «Злоумышленник может запустить определенный скрипт (программа или программный файл, автоматически исполняющий тот или иной сценарий без ручного использования интерфейса программы) внутри веб-приложения, который может дать ему права администратора, а в дальнейшем позволит проникнуть на сервер и в базы данных компании», — рассказал он.
Чтобы обезопасить свои данные, необходимо соблюдать правила кибергигиены: не сообщать никому свои пароли и конфиденциальную информацию, не хранить их в открытом доступе, а также следить за тем, чтобы не попадаться на фишинг (поддельные страницы), объяснил Хайретдинов. «Но даже при соблюдений всех этих правил при пользовании веб-приложениями риски утечек данных пользователей или взлома устройства остаются, если оператор услуг уделяет недостаточно внимания вопросам безопасности», — отметил он.
Следующие меры предосторожности помогут минимизировать ущерб, рассказал Фишман.
Во-первых, это регистрация отдельного почтового ящика, через который проводится аутентификация на сервисах, чтобы основной e-mail не попадал в листы рассылки спама.
Эксперт также посоветовал не использовать одни и те же пароли на разных сайтах — тогда компрометация одного портала не приведет ко взлому учетной записи на других площадках или в интернет-приложениях.
Не стоит также оставлять на сайтах лишнюю информацию о себе — указывать нужно только необходимые данные. Кроме того, в случае наличия у неспециализированного приложения функционала отправки им сообщений в рамках его работы пользоваться им следует осторожно — не передавать через него никаких важных файлов и паролей.
Для оплаты на различных площадках лучше использовать виртуальные карты — на них можно положить деньги непосредственно перед оплатой. Соответственно, даже если она попадет в руки злоумышленников, вы не пострадаете.
Александра Посыпкина, Евгения Баленко