Из 100 веб-приложений российских банков 50 содержат уязвимости
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Из 100 веб-приложений российских банков 50 содержат уязвимости

Яков Шпунт 26 Февраля 2025 - 15:45
...
Из 100 веб-приложений российских банков 50 содержат уязвимости

ГК «Солар» оценила безопасность веб-приложений 100 российских банков и выявила, что более половины из них содержат уязвимости высокой или средней критичности. В каждом втором приложении обнаружена хотя бы одна серьезная проблема.

Анализ проводился с использованием динамических и статических инструментов тестирования, а также сторонних решений. В 20% случаев уровень защищенности оказался низким, в 39% – средним.

Одной из наиболее распространенных уязвимостей оказался недостаточный контроль доступа, выявленный в 78% приложений. Это может привести к тому, что как внутренние, так и внешние злоумышленники получат доступ к широкому спектру данных и смогут использовать их в своих целях.

Межсайтовый скриптинг (XSS) также остается значимой проблемой: в 75% случаев уязвимость позволяет внедрять вредоносный код через пользовательский ввод. Еще одна серьезная угроза связана с недостаточным шифрованием данных – 56% приложений хранят персональные сведения, пароли и номера платежных карт с использованием устаревших протоколов и слабых криптоалгоритмов, что упрощает их компрометацию.

Кроме того, 36% выявленных уязвимостей связаны с недостатками логирования и мониторинга, что затрудняет обнаружение и расследование инцидентов. В таких условиях банки могут не отслеживать несанкционированный доступ к своим ИТ-системам.

Проблема утечек данных в банковском секторе остается актуальной. По данным ГК «Солар», в 2024 году объем утекшей информации из финансовых организаций составил 410 миллионов строк, что вдвое превышает показатели 2023 года. Среди компрометированных данных – ФИО клиентов, контактные данные, кредитная история и другая чувствительная информация. Финансовый сектор оказался наиболее уязвимым по сравнению с другими отраслями, включая государственные структуры.

Как отметил руководитель направления развития бизнеса ПО Solar appScreener Владимир Высоцкий, в последние годы банки уделяют все больше внимания защите информации, что связано как с требованиями регуляторов, так и с развитием законодательства в области безопасной разработки. Внедрение решений для анализа кода на ранних этапах помогает снижать риски наиболее распространенных уязвимостей и повышать уровень защиты банковских веб-приложений.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Мошенники маскируются под налоговую службу и крадут аккаунты Госуслуг
Яков Шпунт 07 Октября 2025 - 18:56
ФишингМошенничествоОнлайн-мошенничество Домашние пользователиМалый и средний бизнес
Мошенники маскируются под налоговую службу и крадут аккаунты Госуслуг

На фоне массовых рассылок уведомлений и напоминаний об уплате налогов перед 1 декабря активизировались злоумышленники, выдающие себя за сотрудников налоговых органов. Их цель — получить доступ к аккаунтам на Госуслугах и завладеть персональными данными граждан.

Как сообщает телеграм-канал «Лапша-медиа», в своих схемах мошенники используют разные поводы для контакта с жертвами:

  • неуплаченные налоги;
  • налоговые задолженности;
  • непредоставление документов;
  • необходимость подачи декларации.

Связаться с потенциальными жертвами аферисты могут через мессенджеры или электронную почту. Они представляются инспекторами и предлагают записаться на приём в налоговую или лично явиться для «решения проблемы».

Главная цель злоумышленников — получить одноразовые коды для входа на Госуслуги или авторизации в других сервисах, включая онлайн-банки. В некоторых случаях мошенники убеждают перейти по вредоносной ссылке или установить приложение.

Иногда жертвам отправляют ссылку для «заполнения налоговой декларации». На деле она ведёт на фишинговый сайт, куда введённые данные попадают напрямую к злоумышленникам.

В «Лапша-медиа» напоминают: официальные органы, включая налоговую службу, никогда не просят сообщать коды авторизации и не предлагают устанавливать приложения по ссылке. Проверить информацию можно только на Госуслугах, на официальном сайте ФНС или по телефону горячей линии 8-800-222-22-22.

Похожие схемы мошенники использовали весной, когда поводом для обращения служили «налоговые вычеты».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Аферисты использовали блогеров и бренды для обмана россиян на 300 млн руб.
Новость
Аферисты использовали блогеров и бренды для обмана россиян н...
OpenAI вводит проверку возраста в ChatGPT для защиты подростков
Новость
OpenAI вводит проверку возраста в ChatGPT для защиты подрост...
BI.ZONE GRC получила умную фильтрацию уязвимостей и новые отчёты
Новость
BI.ZONE GRC получила умную фильтрацию уязвимостей и новые от...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.