Большинство интернет-сервисов не заботится о безопасности пользователей

Александр Панасенко 25 Июня 2015 - 10:00

Системы защиты от несанкционированного доступа

...

Результаты недавнего исследования компании Digital Security, свидетельствуют, что крупнейшие интернет-сервисы не уделяют должного внимания парольным политикам. Иван Юшкевич, исследователь Digital Security, проанализировал 80 крупнейших ресурсов различного назначения: почтовые сервисы; социальные сети; электронная коммерция; платежные сервисы; игровые сервисы; криптовалюта; хранение файлов и совместная разработка.

Выяснилось, что в большинстве случаев существующие настройки ресурсов дают пользователю возможность обойтись комбинацией цифр и букв, которую легко может подобрать злоумышленник. Меньше других о безопасности своих подписчиков заботятся файловые хранилища и социальные сети. Также слабые парольные политики применяют игровые ресурсы, сервисы электронной коммерции и отдельные почтовые системы.

Строгий подход к выбору пароля применяют сервисы криптовалюты, платежные системы и отдельные «почтовики». Исследование показало, что только 2 из 10 широко известных ресурсов разного профиля используют строгую политику аутентификации. Лучшими оказались такие популярные ресурсы, как Gmail, Apple Store, MEGA, WebMoney, eBay. Самые слабые парольные политики – у социальной сети Meetme, почтового сервиса Pobox, виртуальных магазинов Aliexpress и Alibaba, а также файловых хранилищ Justcloud и Box. Полный текст исследования доступен по ссылке: http://dsec.ru/upload/medialibrary/a0a/a0ae31d6a8ba3fb26132aa52700cfa5a.pdf.

Подобрав пароль и получив доступ к чужому аккаунту, злоумышленник иногда может завладеть следующей информацией: персональные данные; платежные данные (история операций, платежная информация и др.); переписка, включающая файлы с копиями паспортов, приватные фотографии и другие критичные документы. Далеко не у всех (https://twofactorauth.org/), даже крупных, сервисов поддерживается двухэтапная аутентификация, и на дополнительную защиту надеяться не стоит.

Захватив контроль над пользовательским ресурсом, атакующий затем может задействовать его для рассылки спама, вирусов, атаки на других пользователей: в частности, попросить всех друзей по социальной сети перевести деньги на номер телефона под каким-нибудь предлогом.

Не стоит забывать и о том, что компрометация даже одного аккаунта может привести ко взлому более критичных данных того же пользователя (многие применяют один пароль для разных сервисов). Помимо этого, через почтовый ящик возможен доступ к разным ресурсам, которые привязаны к нему с помощью функционала восстановления пароля. Цепочка аккаунтов может рухнуть, как карточный домик, если, допустим, будет восстановлен пароль к аккаунту в соцсети, а через него успешно совершена авторизация на тех сайтах, которые используют для аутентификации страницу пользователя в Facebook, ВКонтакте, LinkedIn и т. д.

Такое отношение к безопасной аутентификации можно объяснить погоней сервисов за аудиторией. Здесь необходимо выбрать «золотую середину»: слишком сложные правила заставят потратить ощутимо больше времени на регистрацию, что может отпугнуть пользователя. С другой стороны, полное отсутствие политик обязательно повлечет за собой возникновение инцидентов.

Следующая главная новость »

Identity Security 2026: как защитить доступ до компрометации?
Регистрируйтесь на эфир!

Михаил Дудченко 13 Марта 2026 - 19:52

Малый и средний бизнес Корпорации Сетевая безопасность Защита контейнерных сред (Container Security) «Флант»

95% компаний назвали контроль доступа главной функцией защиты контейнеров

95% компаний считают управление правами доступа важнейшей функцией безопасности контейнерных сред. Такие результаты показал опрос среди зрителей и участников эфира AM Live «Безопасность контейнерных сред: что реально работает в 2026 году».

Именно контроль доступа оказался наиболее востребованной функцией среди всех механизмов защиты. Его назвали важным 95% участников опроса — заметно больше, чем любые другие инструменты.

На втором месте оказалось управление секретами с 78%, а далее — управление уязвимостями и контроль целостности, которые набрали по 65%.

Такая расстановка приоритетов показывает, что для большинства компаний главной задачей в области безопасности контейнерных сред остаётся контроль того, кто и какие действия может выполнять в инфраструктуре. В динамичных средах, где сервисы и контейнеры постоянно создаются и удаляются, ошибки в управлении доступом могут быстро привести к серьёзным инцидентам.

При этом другие функции, связанные с наблюдением за поведением системы, оказались менее востребованными. Так, мониторинг runtime назвали важным только 35% респондентов, а контроль сетевого трафика — 31%. Это может говорить о том, что многие компании пока сосредоточены на базовых механизмах защиты и управлении доступом, тогда как более сложные инструменты поведенческого анализа внедряются позже.

В целом эксперты назвали такие результаты ожидаемыми, однако их удивило, что к контролю трафика прибегают менее трети компаний. Среди возможных причин они назвали сложность и высокую стоимость внедрения. Кроме того, было отмечено, что в некоторых случаях кластер Kubernetes размещается в закрытом контуре, из-за чего необходимость в отдельном мониторинге трафика снижается.

Интересно, что подход к безопасности во многом зависит и от того, какие платформы используют компании для контейнеризации. Почти половина участников опроса, 47%, сообщили, что дорабатывают контейнерные технологии на базе open-source решений. Ещё 35% используют «ванильные» инструменты контейнеризации без серьёзных модификаций, а 31% применяют российские коммерческие платформы.

Менеджер продукта Deckhouse Kubernetes Platform по направлению информационной безопасности во «Флант» Алексей Крылов отметил, что многие компании, вероятнее всего, используют гибридные варианты, переезжают с западных систем и пока находятся на этапе оптимизации своих платформ.

Кроме того, глава DevOps-департамента Luntry Станислав Проснеков указал, что в «ванильных» системах не хватает средств управления учётными записями. Из-за этого многим компаниям может быть сложно с ними работать, в том числе из-за недостаточной прозрачности таких решений.

Опрос также показал тенденцию к комбинированию инструментов защиты. 48% компаний используют встроенные механизмы безопасности платформ вместе с дополнительными open-source средствами. Ещё 29% сочетают встроенные функции коммерческих платформ с дополнительными инструментами.

Identity Security 2026: как защитить доступ до компрометации?
Регистрируйтесь на эфир!