В первом квартале 2025 года количество уязвимостей в безопасности российских представителей ретейла возросло на 28% по сравнению с аналогичным периодом 2024 года. Об этом сообщил генеральный директор компании «Нейроинформ» Александр Дмитриев в интервью «Газете.Ru».
Согласно данным «Нейроинформ», три наиболее распространённые уязвимости включают нарушение контроля доступа к чувствительным данным и ресурсам (34% всех проблем), отсутствие блокировки при переборе паролей и пользователей в веб-приложениях (26%), а также отсутствие аутентификации на API-вызовах (21%).
Эксперты считают нарушение контроля доступа наиболее критичной проблемой, так как оно создаёт прямую угрозу для всей инфраструктуры компании. Это может привести к раскрытию внутренней информации, такой как домены, IP-адреса и средства защиты, в публичных материалах. Часто встречаются случаи хранения учетных данных пользователей в метаданных изображений или конфигурационных файлах, доступных через интернет, что открывает злоумышленникам путь к компрометации систем.
Уязвимость, связанная с отсутствием блокировки при переборе паролей, также остаётся одной из самых опасных. Она позволяет киберпреступникам использовать автоматизированные инструменты для подбора паролей, что может привести к компрометации административных панелей веб-сайтов и внутренней сети компании. Проблему усугубляет отсутствие двухфакторной аутентификации и систем защиты от подозрительной активности.
Новая, но серьёзная угроза — отсутствие аутентификации на API-вызовах. Многие сервисы в ретейле строятся на API, которые не имеют механизмов аутентификации. Это позволяет злоумышленникам без знания логинов и паролей получать доступ к данным и выполнять действия, что может привести к утечке персональных данных клиентов и массовым фишинг-атакам.
Аналитики подчёркивают, что такие уязвимости могут иметь тяжёлые последствия, включая утечку данных, штрафы от регуляторов и серьёзные угрозы безопасности.
Ранее «Астера» сообщала, что эксперты «Лаборатории Касперского» предупредили российских пользователей о вероятности появления в стране нового Android-вируса SuperCard X, способного воровать данные банковских карт.