Беззащитные заявки
Персональные данные граждан, направляемые кредитной организации при запросе на выдачу кредита или карты, могут оказаться в открытом доступе. Даже если кредитной организации уже нет. Так произошло в результате выявления уязвимости веб-ресурса ныне ликвидированного Бинбанка. В «ФК Открытие», к которому был присоединен банк, сообщили, что ресурс заблокирован. Однако эксперты отмечают, что проблема характерна для банковских веб-сайтов, где экономили на безопасной разработке и защите.
В понедельник компания DeviceLock сообщила о выявленной утечке данных клиентов-физлиц, подававших в свое время заявки на получение кредитной карты Бинбанка «Эlixir». По заявителям доступны ФИО, паспортные данные, телефон и адрес проживания. Эти данные не находятся в открытом доступе, однако извлечь их можно методом подбора буквенно-цифровых сочетаний, поясняется в сообщении компании. Как пояснил “Ъ” основатель DeviceLock Ашот Оганесян, скорее всего, имела место уязвимость API-механизма, через который сайт и мобильные приложения получают доступ к внутренней системе банка для передачи заявок на выпуск карт «Эlixir». По его словам, в настоящее время известно, что уже найдено более 1000 анкет, однако при помощи автоматизированного перебора возможно получить все заявки, доступные через это API, а их могут быть десятки или даже сотни тысяч. По словам господина Оганесяна, если систему для Бинбанка делали сторонние разработчики, то велика вероятность подобных проблем и в других банках, использовавших то же решение.
Эксперты отмечают, что подобная утечка — не единичный случай. По словам вице-президента группы компаний InfoWatch Рустема Хайретдинова, схожая публичная история была еще в 2015 году с банком «Санкт-Петербург», когда злоумышленники также получили доступ к данным клиентов, после чего банк пересмотрел свой взгляд на безопасность. «Пресловутый принцип time-to-market требует от компаний выпускать новые сервисы как можно быстрее,— указывает эксперт.— И из-за этого банки порой отказываются от дополнительного времени на тестирование и исправление ошибок». По словам руководителя группы анализа защищенности Solar JSOC «Ростелеком-Solar» Александра Колесова, вероятно, в данном случае в ходе заполнения заявки на выдачу карты каждая страница сохранялась в кэше. Это требуется для того, чтобы сотрудник банка мог перезвонить клиенту, если тот вдруг передумал и не закончил процесс оформления. «Однако эти страницы хранились без каких-либо ограничений доступа по прямой ссылке»,— отметил он, указывая, что разные вариации данной уязвимости «встречаются довольно часто в банках». По словам руководителя группы исследований безопасности банковских систем Positive Technologies Ярослава Бабина, очевидно также отсутствие защиты от атаки перебором. Статистика уязвимостей веб-приложений за 2018 год показывает, что «уязвимости, связанные с аутентификацией, были выявлены в 74% приложений, из них 28% — это как раз возможность подбора данных», отметил господин Бабин.
В то же время подобные утечки грозят тем гражданам, чьи данные попали в открытый доступ, как минимум атаками с использованием социальной инженерии. Решать же проблему приходится совершенно другому игроку, банку «ФК Открытие», к которому Бинбанк присоединился с 1 января 2019 года и где не обладают полной информацией, что происходило в присоединенном банке. В частности, там не смогли ответить на вопрос “Ъ”, сколько всего было получено заявок через сайт, то есть сколько данных клиентов могут быть под угрозой. «Мы знаем, что с конца 2012 года Бинбанк действительно выпускал данный карточный продукт, в 2014 году проект был закрыт,— отметили в пресс-службе "ФК Открытие".— Сайты, на которых размещались данные, заблокированы». Вместе с тем, как отметили в банке, «установить разработчиков сервиса и ответственных за продукт практически невозможно».
При этом, отмечают эксперты, обычный гражданин, желающий оставить заявку на получение карты или кредита на сайте банка, никогда «на глаз» не определит, насколько он защищен от подобных утечек информации. «Без специальных инструментов безопасность сайта не оценить,— уверен Рустем Хайретдинов.— Но чем меньше банк и чем меньшая доля его клиентов обслуживается дистанционно, тем выше вероятность, что на безопасной разработке приложений и защите экономят».
В понедельник компания DeviceLock сообщила о выявленной утечке данных клиентов-физлиц, подававших в свое время заявки на получение кредитной карты Бинбанка «Эlixir». По заявителям доступны ФИО, паспортные данные, телефон и адрес проживания. Эти данные не находятся в открытом доступе, однако извлечь их можно методом подбора буквенно-цифровых сочетаний, поясняется в сообщении компании. Как пояснил “Ъ” основатель DeviceLock Ашот Оганесян, скорее всего, имела место уязвимость API-механизма, через который сайт и мобильные приложения получают доступ к внутренней системе банка для передачи заявок на выпуск карт «Эlixir». По его словам, в настоящее время известно, что уже найдено более 1000 анкет, однако при помощи автоматизированного перебора возможно получить все заявки, доступные через это API, а их могут быть десятки или даже сотни тысяч. По словам господина Оганесяна, если систему для Бинбанка делали сторонние разработчики, то велика вероятность подобных проблем и в других банках, использовавших то же решение.
Эксперты отмечают, что подобная утечка — не единичный случай. По словам вице-президента группы компаний InfoWatch Рустема Хайретдинова, схожая публичная история была еще в 2015 году с банком «Санкт-Петербург», когда злоумышленники также получили доступ к данным клиентов, после чего банк пересмотрел свой взгляд на безопасность. «Пресловутый принцип time-to-market требует от компаний выпускать новые сервисы как можно быстрее,— указывает эксперт.— И из-за этого банки порой отказываются от дополнительного времени на тестирование и исправление ошибок». По словам руководителя группы анализа защищенности Solar JSOC «Ростелеком-Solar» Александра Колесова, вероятно, в данном случае в ходе заполнения заявки на выдачу карты каждая страница сохранялась в кэше. Это требуется для того, чтобы сотрудник банка мог перезвонить клиенту, если тот вдруг передумал и не закончил процесс оформления. «Однако эти страницы хранились без каких-либо ограничений доступа по прямой ссылке»,— отметил он, указывая, что разные вариации данной уязвимости «встречаются довольно часто в банках». По словам руководителя группы исследований безопасности банковских систем Positive Technologies Ярослава Бабина, очевидно также отсутствие защиты от атаки перебором. Статистика уязвимостей веб-приложений за 2018 год показывает, что «уязвимости, связанные с аутентификацией, были выявлены в 74% приложений, из них 28% — это как раз возможность подбора данных», отметил господин Бабин.
В то же время подобные утечки грозят тем гражданам, чьи данные попали в открытый доступ, как минимум атаками с использованием социальной инженерии. Решать же проблему приходится совершенно другому игроку, банку «ФК Открытие», к которому Бинбанк присоединился с 1 января 2019 года и где не обладают полной информацией, что происходило в присоединенном банке. В частности, там не смогли ответить на вопрос “Ъ”, сколько всего было получено заявок через сайт, то есть сколько данных клиентов могут быть под угрозой. «Мы знаем, что с конца 2012 года Бинбанк действительно выпускал данный карточный продукт, в 2014 году проект был закрыт,— отметили в пресс-службе "ФК Открытие".— Сайты, на которых размещались данные, заблокированы». Вместе с тем, как отметили в банке, «установить разработчиков сервиса и ответственных за продукт практически невозможно».
При этом, отмечают эксперты, обычный гражданин, желающий оставить заявку на получение карты или кредита на сайте банка, никогда «на глаз» не определит, насколько он защищен от подобных утечек информации. «Без специальных инструментов безопасность сайта не оценить,— уверен Рустем Хайретдинов.— Но чем меньше банк и чем меньшая доля его клиентов обслуживается дистанционно, тем выше вероятность, что на безопасной разработке приложений и защите экономят».
Читайте также
Московский Пасхальный фестиваль при поддержке ВТБ объединяет города России
ХХIII Московский Пасхальный фестиваль пройдет при поддержке ВТБ с 25 апреля по 16 мая 2024 года в более 40 городах России
Минцифры предложило запретить рекламные обзвоны россиян
Глава Минцифры заявил, что ведомство разрабатывает законопроект против рекламных звонков
Крупные банки усилили блокировку карт подставных лиц мошенников
«Тинькофф» и ВТБ запустили системы мониторинга для выявления карт подставных лиц
С мая НСПК вводит контроль за торговыми точками в части мошенничества
Банки смогут опротестовывать операции торговых предприятий, если они будут систематическими нарушителями
ЦБ назвал среднюю максимальную ставку по вкладам в топ-10 банков
Средняя максимальная ставка по вкладам в рублях десяти российских банков остается неизменной третью декаду подряд
Обязательство по продаже валютной выручки могут продлить до мая 2025 года
Ранее предполагалось, что меру продлят до конца 2024 года
Генпрокуратура предложила списывать кредиты граждан, лишившихся квартир из-за долгов
Генеральная прокуратура России подготовила законопроект, который аннулирует банковские долги граждан
В России резко выросло мошенничество с использованием банкоматов
Мошенники возобновили активное воровство с использованием банкоматов
ФАС вновь проверит Сбербанк из-за рекламы вклада
Федеральная антимонопольная служба (ФАС) сообщила о жалобе гражданина на рекламу Сбербанка
В СФ разработали законопроект об обязательной оценке покупаемого за маткапитал жилья
Комитет Совета Федерации по социальной политике по поручению спикера Валентины Матвиенко разработал законопроект