Большинство интернет-сервисов не заботится о безопасности пользователей

Александр Панасенко 25 Июня 2015 - 10:00

Системы защиты от несанкционированного доступа

...

Результаты недавнего исследования компании Digital Security, свидетельствуют, что крупнейшие интернет-сервисы не уделяют должного внимания парольным политикам. Иван Юшкевич, исследователь Digital Security, проанализировал 80 крупнейших ресурсов различного назначения: почтовые сервисы; социальные сети; электронная коммерция; платежные сервисы; игровые сервисы; криптовалюта; хранение файлов и совместная разработка.

Выяснилось, что в большинстве случаев существующие настройки ресурсов дают пользователю возможность обойтись комбинацией цифр и букв, которую легко может подобрать злоумышленник. Меньше других о безопасности своих подписчиков заботятся файловые хранилища и социальные сети. Также слабые парольные политики применяют игровые ресурсы, сервисы электронной коммерции и отдельные почтовые системы.

Строгий подход к выбору пароля применяют сервисы криптовалюты, платежные системы и отдельные «почтовики». Исследование показало, что только 2 из 10 широко известных ресурсов разного профиля используют строгую политику аутентификации. Лучшими оказались такие популярные ресурсы, как Gmail, Apple Store, MEGA, WebMoney, eBay. Самые слабые парольные политики – у социальной сети Meetme, почтового сервиса Pobox, виртуальных магазинов Aliexpress и Alibaba, а также файловых хранилищ Justcloud и Box. Полный текст исследования доступен по ссылке: http://dsec.ru/upload/medialibrary/a0a/a0ae31d6a8ba3fb26132aa52700cfa5a.pdf.

Подобрав пароль и получив доступ к чужому аккаунту, злоумышленник иногда может завладеть следующей информацией: персональные данные; платежные данные (история операций, платежная информация и др.); переписка, включающая файлы с копиями паспортов, приватные фотографии и другие критичные документы. Далеко не у всех (https://twofactorauth.org/), даже крупных, сервисов поддерживается двухэтапная аутентификация, и на дополнительную защиту надеяться не стоит.

Захватив контроль над пользовательским ресурсом, атакующий затем может задействовать его для рассылки спама, вирусов, атаки на других пользователей: в частности, попросить всех друзей по социальной сети перевести деньги на номер телефона под каким-нибудь предлогом.

Не стоит забывать и о том, что компрометация даже одного аккаунта может привести ко взлому более критичных данных того же пользователя (многие применяют один пароль для разных сервисов). Помимо этого, через почтовый ящик возможен доступ к разным ресурсам, которые привязаны к нему с помощью функционала восстановления пароля. Цепочка аккаунтов может рухнуть, как карточный домик, если, допустим, будет восстановлен пароль к аккаунту в соцсети, а через него успешно совершена авторизация на тех сайтах, которые используют для аутентификации страницу пользователя в Facebook, ВКонтакте, LinkedIn и т. д.

Такое отношение к безопасной аутентификации можно объяснить погоней сервисов за аудиторией. Здесь необходимо выбрать «золотую середину»: слишком сложные правила заставят потратить ощутимо больше времени на регистрацию, что может отпугнуть пользователя. С другой стороны, полное отсутствие политик обязательно повлечет за собой возникновение инцидентов.

Следующая главная новость »

Российские альтернативы Microsoft CA: чем заменить и не проиграть?
Регистрируйтесь на эфир!

Екатерина Быстрова 30 Марта 2026 - 11:58

iOS Соответствие законодательству РФ Общее Apple

В России хотят ограничить оплату сервисов Apple ради возврата приложений

У Apple в России может появиться ещё одна точка давления. В Минцифры на совещании с операторами «большой четвёрки» 28 марта обсуждали возможность временно приостановить оплату сервисов Apple со счёта мобильного телефона. Идея в том, чтобы подтолкнуть компанию к возвращению популярных российских приложений в App Store.

Как утверждает источник РИА Новости, речь идёт о попытке повлиять на Apple через деньги: если ограничить один из привычных способов оплаты, потери для компании могут оказаться достаточно чувствительными, чтобы она стала активнее исполнять требования российского законодательства.

В качестве претензий к Apple собеседник агентства перечислил сразу несколько тем. Во-первых, с 2022 года компания, по его словам, удалила из App Store десятки российских приложений — в том числе банковские, картографические, авиационные сервисы, классифайды и агрегаторы.

Во-вторых, Apple, как утверждается, не исполняет решение ФАС по так называемому «окну выбора» поисковика по умолчанию на iPhone и iPad.

Кроме того, источник РИА Новости заявил, что компания по-прежнему не выполняет требование о возможности установки российского магазина приложений RuStore на устройства Apple.

Ещё одна претензия касается VPN-приложений: по словам собеседника агентства, Apple не в полной мере исполняет требования Роскомнадзора по их удалению из российского App Store. При этом тема VPN для регулятора остаётся чувствительной уже не первый год.

Пока речь идёт именно об обсуждении возможной меры, а не о принятом решении. Но сам факт появления такого сценария показывает, что спор вокруг App Store, российских приложений и правил работы Apple в стране явно выходит на новый уровень.

Если эту идею всё же доведут до реализации, для пользователей это может означать новые ограничения при оплате сервисов Apple через мобильный счёт. А для самой компании — ещё один сигнал, что вопросы локального регулирования в России всё труднее игнорировать.

Российские альтернативы Microsoft CA: чем заменить и не проиграть?
Регистрируйтесь на эфир!