Переважна більшість великих фінансових організацій з рейтингу S&P Global уразливі до хакерських атак. До такого висновку прийшли фахівці швейцарської компанії ImmuniWeb за підсумками масштабного дослідження.
Експерти дослідили 100 сайтів, що належать великим банкам, 2 336 піддоменів, 102 додатка інтернет-банкінгу, 55 мобільних банківських додатків і 298 API мобільних банківських додатків, пише Securitylab.
Фахівці проводили аналіз низки критеріїв, включаючи заходи щодо забезпечення безпеки, відповідність вимогам Загального регламенту щодо захисту даних ЄС (GDPR), відповідність стандартам (PCI DSS), використання застарілого та уразливого програмного забезпечення, реалізацію шифрування SSL/TLS тощо.
Згідно зі звітом, тільки три банки з ста отримали вищу оцінку в тому, що стосується забезпечення безпеки своїх сайтів і реалізації SSL-шифрування. На сайтах 31% банків були виявлені уразливості або некоректна конфігурація, а 5% сайтів містили експлуатовані відомі уразливості, а на 13% ресурсів відсутнє шифрування або були експлуатовані уразливості. При цьому тільки на 4% сайтів не було виявлено ніяких проблем.
За даними фахівців, 40% додатків для інтернет-банкінгу схильні до уразливостей або містять проблеми, пов’язані з некоректною конфігурацією, 7% містили відомі уразливості, а в 2% додатків відсутнє шифрування. Безпечними виявилися тільки 15% із загальної кількості вивчених додатків.
Що стосується відповідності стандартам PCI DSS, хороші результати показали 62% сайтів і 58% додатків інтернет-банкінгу, а 38% сайтів і 49% додатків – не пройшли перевірку. У категорії відповідності нормам GDPR ситуація значно гірша – вимог регламенту дотримуються тільки 39% сайтів і 17% додатків інтернет-банкінгу.
Дослідження також показало, що 29% сайтів містять щонайменше одну відому і невиправлені уразливість середнього або високого ступеня небезпеки. У числі найбільш поширених уразливостей виявилися XSS-уразливість, а також проблеми, пов’язані з ризиком розкриття даних і некоректними налаштуваннями.
55% вивчених мобільних банківських додатків містили уразливості, що розкривають конфіденційні банківські дані, 100% рішень – як мінімум одну незначну уразливість, 92% – щонайменше одну уразливість середньої небезпеки, а 20% додатків були схильні до хоча б однієї серйозної уразливості.
До речі, Google тестує окрему панель управління відтворенням, яка буде вбудована в інтерфейс настільної версії Chrome.
Також більше десяти мільйонів власників смартфонів Samsung встановили шахрайський додаток Updates for Samsung, що видається кіберзлочинцями за оновлення прошивки.
Окрім цього, дослідники з Міжнародного інституту комп’ютерних наук стверджують, що 1325 додатків, доступних для завантаження в Google Play, шпигують за користувачами без їх дозволу.