79% разработчиков никогда не патчат сторонние библиотеки в своём софте

79% разработчиков никогда не патчат сторонние библиотеки в своём софте

79% разработчиков никогда не патчат сторонние библиотеки в своём софте

Специалисты компании Veracode, занимающейся безопасностью приложений, заявили, что большинство разработчиков никогда не обновляют сторонние библиотеки, которые используются в их софте. Само собой, такой подход создаёт риски для конечного пользователя.

Свои наблюдения исследователи изложили в отчёте «State of Software Security», затрагивающем вопрос безопасности программ с открытым исходным кодом и использования стороннего кода.

В ходе исследования эксперты проанализировали более 86 тыс. репозиториев, в которых хранились более 300 тыс. уникальных библиотек. Дополнительно специалисты опросили 1700 разработчиков, чтобы яснее представлять картину.

В результате выяснилось, что 79% библиотек, включённых в тот или иной софт, никогда не обновлялись. При этом стоит отметить, что некоторые девелоперы подходят к апдейтам по-настоящему ответственно, особенно если речь идёт об обнаруженной уязвимости.

Таким образом, лишь 25% дыр устраняются в течение недели, а вот больше половины брешей ждут своего патча по семь месяцев. Отчасти это происходит и потому, что разработчики не всегда располагают актуальной и свежей информацией относительно выявленных уязвимостей и выпущенных патчей.

«Как только девелоперы понимают всю опасность уязвимостей и при этом ставят в приоритет безопасность своих проектов, они сразу легко устраняют бреши в софте. Фактически дыра может быть пропатчена в течение трёх недель, если у разработчика есть вся необходимая информация», — пишет команда Veracode.

Помимо этого, исследователи выяснили, что 92% уязвимостей можно устранить одним апдейтом.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Мошенники крадут паспортные данные через фальшивые промокоды на косметику

Компания F6 выявила новую схему хищения персональных данных. Злоумышленники предлагают пользователям зарегистрироваться на легальном сайте, а затем отправить в телеграм-бот скриншот с введённой информацией — включая паспортные данные и ИНН.

О новой схеме сообщило РИА Новости со ссылкой на материалы F6. Атака строится в несколько этапов.

Поводом для вовлечения жертвы становится предложение получить промокод на 2000 рублей в одной из сетей по продаже косметики. Рекламу таких «акций» злоумышленники размещают в русскоязычных соцсетях. Для участия пользователю нужно перейти в телеграм-бот, который якобы выдаёт промокод.

Однако для регистрации в этом боте требуется создать учётную запись на одном из сервисов проверки кредитной истории и отправить скриншот страницы с введёнными данными. После получения скриншота бот перестаёт отвечать на сообщения.

Таким образом, аферисты получают комплект персональных данных — паспорт, ИНН и другую ценную для них информацию. Эти данные впоследствии могут быть проданы или использованы в других мошеннических схемах, например при оформлении онлайн-кредитов в микрофинансовых организациях.

По инициативе F6 уже заблокировано свыше 120 рекламных публикаций и объявлений, связанных с данной схемой. Также предпринимаются меры по блокировке основного сайта злоумышленников.

«Требование предоставить скриншот с персональными данными само по себе является явным признаком мошенничества. Подобные действия нарушают принципы защиты персональных данных и могут привести к их использованию в противоправных целях», — подчеркнула аналитик департамента Digital Risk Protection компании F6 Анастасия Князева.

Ранее схемы с фальшивыми промокодами мошенники применяли и в так называемых fake date-атаках. Тогда они действовали от имени владельцев салонов красоты и склоняли жертв к установке вредоносных приложений. От той кампании пострадало около 200 человек.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru