Последствия утечки информации из банков Trustmark National Bank и Green Bank

Последствия утечки данных из банков Trustmark National Bank и Green Bank

Александр Панасенко 31 Марта 2014 - 09:14

...

Банки Trustmark National Bank и Green Bank, пострадавшие в результате атаки на Target, подали в суд на ритейлера и компанию Trustwave. Эта компания занималась вопросами безопасности безналичных платежей и, в частности, сертифицировала информационную систему Target на соответствие стандарту PCI DSS.

Trustwave впервые напрямую связали с масштабной атакой Target, пишет Crain’s Chicago Business. Компания проводила сканирование компьютерных систем ритейлера 20 сентября 2013 года, и не обнаружила никаких уязвимостей в компьютерных системах.

Кроме того, Trustwave предоставляет сети Target услуги круглосуточного мониторинга, который включает в себя обнаружение вторжения в системы и компрометации персональных данных или другой информации ограниченного доступа. Получается, что во время атаки (с 27 ноября по 15 декабря 2013 года) злоумышленники действовали «под наблюдением» Trustwave, говорится в тексте иска, сообщает pcidss.ru.

Trustwave также обвиняют в том, что компания вовремя не уведомила Target и общественность об атаке, как требует законодательство.

Затраты пострадавших банков только на перевыпуск кредитных карт составят около 172 млн долл., общие потери, в том числе от мошеннических операций по счетам, могут достичь 18 млрд. долл. Банки намерены компенсировать за счет Target и Trustwave понесенный ущерб.

Эдвард Феррара (Edward Ferrara) аналитик Forrester Research Inc. считает, что данный иск лишь вершина айсберга. Многие ритейлеры формально соответствуют требованиям регуляторов платежных систем, однако имеют те же проблемы с безопасностью, что и Target.

Причина довольно низкого уровня безопасности ритейлеров кроется в сложившейся практике, когда за утечку платежных данных отвечает не ритейлер, а банк, эмитировавший пластиковую карту, уверен Фрэнк Киттинг, (Frank Keating) президент Американской ассоциации банков.

Вице-президент, аналитик Gartner Авива Литан (Avivah Litan) считает, что сложившаяся в сфере пластиковых карт система не при чем, а сам стандарт PCI DSS неплох. Но, по аналогии с консалтинговым бизнесом, заниматься сертификацией и предоставлением услуг должны разные компании. Или хотя бы разные подразделения. Иначе возникает конфликт интересов.

Директор компании Digital Security и организатор конференции PCI DSS Russia Илья Медведовский в своем твиттере обращает внимание на другой аспект этой истории. «Это хороший урок и предостережение всем любителям сертифицировать за деньги даже электровеник», пишет эксперт.

Андрей Прозоров, ведущий эксперт по информационной безопасности InfoWatch комментирует:

«Не стоит ставить знак равенства между «Сертификацией» компании по международным стандартам информационной безопасности и «Безопасностью». Сертификат подтверждает лишь то, что компания выполняет обязательные требования, прописанные в стандарте. Да, PCI DSS довольно хороший и комплексный стандарт, обязывающий компании внедрять правильные механизмы информационной безопасности (к примеру, управлять уязвимостями, использовать средства криптографической защиты и регулярно проводить тесты на проникновение). Компании, которые следуют ему, зачастую чуть более защищены, чем те, кто его игнорирует. Но это вовсе не значит, что первые находятся в абсолютной безопасности. В данной ситуации вина Trustwave, вероятно, не будет доказана, но доверие к ней как к аудитору, скорее всего, снизится».

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Екатерина Быстрова 09 Февраля 2026 - 11:54

Android iOS Уязвимости программ Домашние пользователи

70% мобильных игр небезопасны: эксперты нашли сотни уязвимостей

Казалось бы, что может быть безобиднее мобильных игр? Пару уровней в дороге, быстрый матч перед сном — и никаких рисков. Но на практике всё не так радужно. По данным AppSec Solutions, семь из десяти игровых приложений для смартфонов содержат уязвимости, а каждая седьмая из них может быть потенциально опасной.

Специалисты компании проанализировали около 50 популярных мобильных игр с помощью инструмента AppSec.Sting и обнаружили порядка 700 уязвимостей. Из них 90 получили высокий или критический уровень опасности.

Самые тревожные находки — это банальные, но оттого не менее опасные ошибки. Так, в 12 приложениях пароли и токены хранились прямо в исходном коде, фактически в открытом виде. Для злоумышленников это настоящий подарок — такие данные легко извлекаются и могут использоваться для взлома.

Ещё 13 игр не имели проверки целостности, что позволяет без особых усилий модифицировать сборку и менять логику приложения.

«Это серьёзно упрощает вмешательство в работу игры — от читов до более опасных сценариев», — пояснил руководитель отдела анализа защищённости AppSec.Sting компании AppSec Solutions Никита Пинаев.

Эксперт выделил три ключевые проблемы, которые встречаются в мобильных играх особенно часто.

Во многих играх критически важные механики — расчёт наград, прогресса и внутриигровых ресурсов — реализованы на стороне клиента. Без полноценной серверной проверки это открывает дорогу к подмене данных, повторному воспроизведению запросов и манипуляциям с игровой экономикой. Итог — читы, перекос баланса, падение честности и доверия игроков.

Небезопасное хранение данных и слабая защита сетевого взаимодействия. Конфиденциальная информация нередко хранится локально без шифрования и контроля целостности. К этому добавляются проблемы с сетевой защитой — отсутствие проверок подлинности запросов и защиты от повторного воспроизведения. Всё это создаёт условия для утечек данных и автоматизации мошеннических сценариев.

Многие приложения поставляются без обфускации кода и базовых механизмов защиты. В результате бизнес-логика легко анализируется, конфиденциальные параметры извлекаются, а модифицированные клиенты распространяются быстрее, чем разработчики успевают реагировать.

На первый взгляд проблемы выглядят «внутриигровыми», но на деле они оборачиваются вполне реальными рисками — финансовыми потерями, ростом мошенничества и репутационными издержками. И страдают от этого не только студии, но и обычные пользователи.

Эксперты AppSec Solutions напоминают простые, но эффективные правила цифровой гигиены:

Скачивайте игры только из официальных магазинов.
Сторонние источники — главный канал распространения модифицированных и вредоносных версий.
Осторожнее с модами и «взломами».
Читы — это не только риск бана, но и реальная угроза утечки данных или заражения устройства.
Следите за разрешениями.
Давайте игре только то, что действительно нужно для работы, и периодически пересматривайте доступы.
Обновляйте приложения и ОС.
Апдейты часто закрывают уязвимости, о которых вы даже не подозреваете.
Используйте уникальные пароли.
Для игровых аккаунтов — свои учётные данные и, по возможности, дополнительные механизмы защиты.

Мобильные игры давно перестали быть просто развлечением — вокруг них крутятся деньги, данные и целые цифровые экосистемы. А значит, относиться к их безопасности стоит не менее серьёзно, чем к банковским приложениям.

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »