Эксперты говорят о крайне низком уровне защищенности платежных данных
Главная » Новости

Эксперты говорят о крайне низком уровне защищенности платежных данных

Александр Панасенко 12 Декабря 2013 - 17:27
...

 Аналитический Центр InfoWatch представил первое глобальное исследование утечек информации о банковских счетах и пластиковых картах, которое выявило крайне низкий уровень защищенности платежных данных. Аналитики InfoWatch приходят к выводу о том, что мировой уровень защищенности платежных данных в целом довольно низок. Исследование показало, что более трети утечек в коммерческих компаниях, оперирующих банковскими картами, приходится именно на платежные данные – 34% случаев.

В отчете рассматриваются банки, процессинговые компании и организации, принимающих к оплате пластиковые карты (т.н. «ритейлеры»).

В банках с платежными данными связано немногим меньше трети всех утечек – 29%. Чуть большая доля (31%) приходится на платежные данные в процессинговых компаниях, и у «ритейлеров» утечки платежных данных составляют почти половину (49%) от общего числа инцидентов. «Ритейлеры» в большинстве случаев просто не воспринимают всерьез возможные последствия утечек в виде репутационных и финансовых потерь, и, как следствие, не предпринимают усилий для повышения уровня защищенности данных клиентов. В результате «ритейлеры» превратились в излюбленную мишень киберпреступников. Последние легко получают доступ к агрегированной информации о клиентах, включая персональные и платежные данные. Аналитики InfoWatch прогнозируют, что если отношение «ритейлеров» к защите информации не изменится, в перспективе оно может привести к серьезным последствиям вплоть до подрыва доверия к системе платежных карт со стороны клиентов.

Ситуация усугубляется тем, что утечки платежных данных носят, в основном, злонамеренный характер. Особенно ярко это проявляется в отношении процессинговых компаний, где ¾ утечек совершаются умышленно, а доля случайных не превышает 19%. Аналогичная ситуация сложилась в банковских организациях – 68% умышленного разглашения конфиденциальной информации против 20% случайного. Для сравнения можно сказать, что в мире распределение общего числа инцидентов по умыслу уже несколько лет находится на уровне примерно 50/50. Высокий процент умышленных утечек через давно известные и теоретически контролируемые каналы говорит о том, что данные организации излишне полагаются на технические средства защиты и уделяют недостаточно внимания мерам организационного характера, работе с психологией сотрудников.

Каналы утечек платежной информации серьезно различаются в зависимости от типа организации. В банках, где доля случайных инцидентов незначительна, преобладают каналы, характерные для умышленных утечек: потеря или кража оборудования (в том числе ноутбуков) – 42%, утечки по сети – 21% и через съемные носители – 6%. В 20% случаев канал определить невозможно. Практически та же картина наблюдается в процессинговых компаниях, разве что на кражу и потерю оборудования приходится несколько меньше – 34%. У «ритейлеров» распределение более однородное – каналы передачи информации в данных организациях защищаются одинаково плохо, но большинство «ритейлеров» продолжает фактически закрывать глаза на слабость собственных систем защиты платежных данных клиентов.

Несмотря на то, что противодействие внутренним нарушителям – одна из самых сложных задач ИБ, аналитики InfoWatch отмечают, что ущерб от мошенничества с платежными данными все же можно снизить. Безусловно, наиболее действенными были бы меры по решению проблемы, принятые на государственном уровне, – ужесточение требований к порядку обработки и хранения платежных данных. Строгое выполнение участниками рынка (в особенности «ритейлерами») правила PCI DSS, предписывающего не хранить платежные данные в информационных системах, способствовало бы кардинальному изменению ситуации в лучшую сторону.

«Операторам по переводу денежных средств пора всерьез задуматься о том, как противодействовать внутреннему нарушителю. Как мы видим, в подавляющем большинстве случаев утечки платежной информации происходят при непосредственном участии сотрудников пострадавших компаний, – говорит Наталья Касперская, генеральный директор ГК InfoWatch. – Средства DLP могут с легкостью блокировать утечку номеров кредитных карт и контролировать действия потенциальных инсайдеров. Однако те же «ритейлеры» совсем не используют DLP-системы, опасаясь их высокой стоимости, и в результате платежные данные продолжают утекать. Такую ситуацию нельзя считать нормальной».

Следующая главная новость »
AM LiveSOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Расширения Chrome могут слить секреты URL через атаку по стороннему каналу
Татьяна Никитина 04 Февраля 2026 - 21:18
Уязвимости программ Домашние пользователиКорпорации
Расширения Chrome могут слить секреты URL через атаку по стороннему каналу

Как оказалось, расширения Chrome можно использовать для слива кодов авторизации, сеансовых ID и других секретов из URL любой открытой вкладки. Никаких специальных разрешений для этого не понадобится, только доступ к declarativeNetRequest API.

Этот механизм, пришедший на смену webRequest API, позволяет расширениям сообщать браузеру, что следует изменить или заблокировать на загружаемой странице (заголовки, реклама, трекеры).

Правила обработки запросов при этом добавляются динамически, а фильтрация осуществляется по регулярным выражениям, соответствующим подмножествам знаков, которые могут присутствовать на определенных позициях в URL.

Исследователь Луан Эррера (Luan Herrera) обнаружил, что блокировку, диктуемую правилами, Chrome производит почти мгновенно, за 10-30 мс, а остальные запросы выполняются дольше (~50-100ms) — из-за сетевых подключений. Эту разницу во времени расширение может использовать для бинарного поиска с целью посимвольного слива URL.

// extensions/browser/api/web_request/extension_web_request_event_router.cc:1117-1127
case DNRRequestAction::Type::BLOCK:
  ClearPendingCallbacks(browser_context, *request);
  DCHECK_EQ(1u, actions.size());
  OnDNRActionMatched(browser_context, *request, action);
  return net::ERR_BLOCKED_BY_CLIENT;

Оракул для подобной тайминг-атаки строится с использованием chrome.tabs.reload для перезагрузки страницы и перехватчика chrome.tabs.onUpdated, помогающего отследить событие status === "complete". Замер времени между reload и завершением загрузки покажет, заблокирован запрос или успешно обработан.

Повторение проверок и бинарного поиска позволяет получить полный URL (с довеском после «?»), затратив на каждый знак строки несколько прогонов. Таким образом, можно незаметно для пользователя украсть включенные приложением в адрес секреты — токены OAuth и сброса пароля, API-ключи, ссылки на контент, закрытый для поисковых систем.

Проверка PoC проводилась на Windows 11 24H2 с использованием Chrome разных версий:

  • 144.0.7559.97 (Stable)
  • 145.0.7632.18 (Beta)
  • 146.0.7647.4 (Dev)
  • 146.0.7653.0 (Canary)

В Google подтвердили возможность подобной атаки по стороннему каналу, но заявили, что решить проблему нереально.

AM LiveSOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »
На Android нашли рабочий способ вернуть фоновый YouTube без Premium
Новость
На Android нашли рабочий способ вернуть фоновый YouTube без...
Вредоносные расширения для Firefox прятали код в логотипах
Новость
Вредоносные расширения для Firefox прятали код в логотипах
В Пулково протестировали посадку на самолёт по биометрии
Новость
В Пулково протестировали посадку на самолёт по биометрии

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.