Большинство интернет-сервисов не заботится о безопасности пользователей

Большинство интернет-сервисов не заботится о безопасности пользователей

Результаты недавнего исследования компании Digital Security,  свидетельствуют, что крупнейшие интернет-сервисы не уделяют должного внимания парольным политикам. Иван Юшкевич, исследователь Digital Security, проанализировал 80 крупнейших ресурсов различного назначения: почтовые сервисы; социальные сети; электронная коммерция; платежные сервисы; игровые сервисы; криптовалюта; хранение файлов и совместная разработка.

Выяснилось, что в большинстве случаев существующие настройки ресурсов дают пользователю возможность обойтись комбинацией цифр и букв, которую легко может подобрать злоумышленник. Меньше других о безопасности своих подписчиков заботятся файловые хранилища и социальные сети. Также слабые парольные политики применяют игровые ресурсы, сервисы электронной коммерции и отдельные почтовые системы.

Строгий подход к выбору пароля применяют сервисы криптовалюты, платежные системы и отдельные «почтовики». Исследование показало, что только 2 из 10 широко известных ресурсов разного профиля используют строгую политику аутентификации. Лучшими оказались такие популярные ресурсы, как Gmail, Apple Store, MEGA, WebMoney, eBay. Самые слабые парольные политики – у социальной сети Meetme, почтового сервиса Pobox, виртуальных магазинов Aliexpress и Alibaba, а также файловых хранилищ Justcloud и Box. Полный текст исследования доступен по ссылке: http://dsec.ru/upload/medialibrary/a0a/a0ae31d6a8ba3fb26132aa52700cfa5a.pdf.

Подобрав пароль и получив доступ к чужому аккаунту, злоумышленник иногда может завладеть следующей информацией: персональные данные; платежные данные (история операций, платежная информация и др.); переписка, включающая файлы с копиями паспортов, приватные фотографии и другие критичные документы. Далеко не у всех (https://twofactorauth.org/), даже крупных, сервисов поддерживается двухэтапная аутентификация, и на дополнительную защиту надеяться не стоит.

Захватив контроль над пользовательским ресурсом, атакующий затем может задействовать его для рассылки спама, вирусов, атаки на других пользователей: в частности, попросить всех друзей по социальной сети перевести деньги на номер телефона под каким-нибудь предлогом.

Не стоит забывать и о том, что компрометация даже одного аккаунта может привести ко взлому более критичных данных того же пользователя (многие применяют один пароль для разных сервисов). Помимо этого, через почтовый ящик возможен доступ к разным ресурсам, которые привязаны к нему с помощью функционала восстановления пароля. Цепочка аккаунтов может рухнуть, как карточный домик, если, допустим, будет восстановлен пароль к аккаунту в соцсети, а через него успешно совершена авторизация на тех сайтах, которые используют для аутентификации страницу пользователя в Facebook, ВКонтакте, LinkedIn и т. д.

Такое отношение к безопасной аутентификации можно объяснить погоней сервисов за аудиторией. Здесь необходимо выбрать «золотую середину»: слишком сложные правила заставят потратить ощутимо больше времени на регистрацию, что может отпугнуть пользователя. С другой стороны, полное отсутствие политик обязательно повлечет за собой возникновение инцидентов.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Холдинг Fplus все ближе к банкротству

Банки «Санкт-Петербург» и ББР намерены обратиться в суд с исками о банкротстве холдинга Fplus и его генерального директора и совладельца Алексея Мельникова. Ранее аналогичное заявление подал Совкомбанк — он уже просил признать банкротами три юридические организации группы, включая головную структуру.

О планах банков «Санкт-Петербург» и ББР инициировать процедуру банкротства Fplus сообщил «Коммерсантъ», ссылаясь на публикации на портале «Федресурс».

По информации кредиторов, иски будут поданы против головной компании холдинга — «Ф-плюс оборудование и разработки» — а также против дочерней структуры «Мобильные и компьютерные технологии».

Ранее с иском о признании банкротом трёх юрлиц Fplus, включая головную компанию, обратился Совкомбанк. К процедуре затем присоединились Сбер и банк «Санкт-Петербург». По данным «СПАРК-Интерфакс», общая долговая нагрузка Fplus составляет 951 млн рублей.

Гендиректор «Промобита» (бренд Bitblaze) Максим Копосов отмечает, что похожие финансовые трудности сейчас испытывают многие компании — в том числе из-за снижения спроса со стороны государственных структур и госкомпаний.

Ассоциация разработчиков и производителей электроники прогнозирует, что российский рынок электронных компонентов по итогам 2025 года сократится примерно на 25%. В 2024 году рынок уже упал на 2,6%, а доля отечественной продукции на нём долгие годы не превышает 30%.

Юрист White Stone Игорь Ширин подчёркивает: шансов у поставщика на благоприятный исход остаётся немного. «Практика показывает, что крупные кредиторы, как правило, стремятся к быстрому и эффективному удовлетворению своих требований, что часто приводит к конкурсному производству и реализации имущества», — сказал он.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru