По итогам первого квартала 2025 года, количество уязвимостей в безопасности российских представителей ретейла увеличилось на 28%, по сравнению с аналогичным периодом предыдущего года. Об этом "Газете.Ru" рассказал генеральный директор компании "Нейроинформ" Александр Дмитриев.
По данным "Нейроинформ", в числе наиболее распространенных уязвимостей, выявленных в течение первого квартала 2025 года, лидируют три типа.
Нарушение контроля доступа к чувствительным данным и ресурсам составило 34% от общего числа обнаруженных проблем. Вторым по частоте стало отсутствие блокировки при переборе паролей и пользователей в веб-приложениях (26%). Замыкает тройку лидеров отсутствие аутентификации на API-вызовах, на долю которого пришлось 21% уязвимостей.Наиболее критической проблемой эксперты считают нарушение контроля доступа. Эта уязвимость создает прямую угрозу для всей инфраструктуры компании. Специалисты "Нейроинформ" обнаруживали раскрытие внутренней информации (например, о домене, IP-адресах, используемых средствах защиты) в публичных материалах, таких как рекламные буклеты или инструкции. Часто встречаются случаи хранения учетных данных пользователей в метаданных изображений, JS-скриптах или конфигурационных файлах, доступных из интернета, а также ключей доступа к базам данных (SQL) и API. Особую опасность представляют открытые лог-файлы, в которые в реальном времени записываются вводимые пользователями данные, включая логины и пароли. Доступ к подобным ресурсам и данным, по мнению аналитиков, становится для злоумышленников первым шагом к компрометации систем и проведению более целенаправленных атак.
Уязвимость, связанная с отсутствием блокировки при переборе паролей и пользователей в веб-приложениях, остается одной из наиболее опасных. Она позволяет киберпреступникам использовать автоматизированные инструменты для подбора учетных данных, эксплуатируя слабые или легко угадываемые пароли пользователей. Проблема усугубляется отсутствием обязательной двухфакторной аутентификации (2FA) и неиспользованием систем защиты, способных выявлять и блокировать подозрительную активность. По опыту "Нейроинформ", успешная эксплуатация этой уязвимости часто приводит к получению доступа к административным панелям веб-сайтов, а затем и к компрометации сервера и внутренней сети компании.
Отсутствие аутентификации на API-вызовах выделяется как относительно новая, но серьезная проблема в ретейле. Аналитики отмечают тенденцию, при которой сервисы многих компаний строятся на API, полностью лишенных механизмов аутентификации. Для взаимодействия с такими API требуется лишь знание структуры запроса и токена доступа, что позволяет получать данные и выполнять действия без традиционного ввода логина и пароля. Подобная ошибка конфигурации может иметь крайне тяжелые последствия, вплоть до полной компрометации веб-сервера и базы данных, утечки персональных данных клиентов, создания условий для массового фишинга и наложения регуляторных штрафов.
Свежие комментарии