В 43% компаний хакеры атаковали через уязвимые веб-приложения

В 43% компаний хакеры атаковали через уязвимые веб-приложения

В 43% компаний хакеры атаковали через уязвимые веб-приложения

По данным центра исследования киберугроз Solar 4RAYS за первое полугодие 2024 года, 43% хакерских проникновений в инфраструктуру компаний происходили через уязвимости в корпоративных приложениях.

Solar 4RAYS обращает внимание на то, что злоумышленники эксплуатируют уязвимости из разряда некритичных, которые реже устраняют.

Особенно аналитики выделяют OWASP A3:2017-Sensitive Data Exposure, которая позволяет раскрыть сведения о внутренней инфраструктуре. Другая распространенная ошибка — невнимание к обработке файлов cookie и заголовков (OWASP A6:2017-Security Misconfiguration, A5:2017-Broken Access Control. Ее злоумышленники используют для подмены пользовательских данных.

Также часто для атак используются уязвимости в компонентах с открытым кодом. Их применяют в 90% проектов, причем часто без тщательного аудита. Если компания этого не делает при разработке веб-приложений, вредоносный код рано или поздно проникнет в коммерческое ПО.

Еще одна проблема российских приложений заключается в том, что многие компании создают веб-версии и мобильные приложения на одном и том же интерфейсе, используя схему с одним бэкендом. Таким образом они экономят на разработке, тестировании и технической поддержке, однако под угрозу ставится безопасность.

«Эксплуатация уязвимостей в веб-приложениях уже не первый год входит в тройку наиболее популярных векторов атак на организации. Эта тенденция будет только усиливаться. Все больше российских разработчиков ПО осознают серьезность киберугроз и изначально включают принципы безопасности в свои процессы разработки. В современной IT-индустрии понимают: выгоднее и эффективнее устранять уязвимости на ранних этапах разработки, чем потом бороться с последствиями атак», — комментирует Антон Прокофьев, эксперт по контролю безопасности ПО Solar appScreener ГК «Солар».

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Viber не работал почти сутки

1 декабря в работе мессенджера Viber произошел масштабный и длительный сбой. Он продолжался более 20 часов. Сообщения о сбоях в работе Viber начали поступать в ночь с 30 ноября на 1 декабря.

Пользователи жаловались на невозможность зайти в личный кабинет на сайте viber.com, также были проблемы с отправкой сообщений и звонками через сервис.

Спустя некоторое время мобильное приложение и сайт полностью прекратили работу.

Пик сбоя, по данным сервиса Downdetector, пришелся на 10:00 по московскому времени. В целом проблемы наблюдались около 20 часов. Наибольшее количество жалоб зафиксировано в восточных регионах России: Забайкальском крае (15%), Бурятии (12%) и Иркутской области (8%).

Представители самого Viber сбой и возможные его причины не комментировали.

 

В пятницу мы писали о массовом сбое интернет-сервисов в России, затронувшем банки, розничные сети, интернет-компании, операторов связи, маркетплейсы, службы доставки и др.

Буквально несколько дней назад облачные сервисы Microsoft также прилегли на восемь часов. Причина — ошибки в ходе планового обновления платформы.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru