Эксперты ГК «Солар» изучили код более сотни банковских приложений, чтобы выявить основные уязвимости и способы их эксплуатации.
В 20% сервисов уровень защиты оказался низким, в 39% — средним. В половине программ были найдены критические проблемы безопасности, самая распространённая из которых — недостаток контроля доступа — встречается в 78% случаев. Из‑за слабого разграничения прав сотрудники банков могут получить доступ к данным (например, видеть движение средств по счетам клиентов). Для снижения этих рисков безопасники порекомендовали применять принцип наименьших привилегий.
Второе место (75% приложений) — у межсайтового скриптинга. Хакеры вводят вредоносный код через пользовательские данные и выполняют его в браузере жертвы. Чаще прочего доступ к этим данным добывается через фишинг или кражу сессионных cookies. При такой схеме специалисты ГК «Солар» советуют финорганизациям валидировать и экранировать вводимые данные, а также использовать Content Security Policy (CSP).
56% — ошибки в шифровании. Устаревшие протоколы и слабые криптографические алгоритмы — одна из причин, по которой атакующие легко получают в своё распоряжение платёжные данные граждан.
В 36% рассмотренных кейсов были зафиксированы проблемы с логированием и мониторингом. Слабый надзор чреват тем, что банк может попросту пропустить атаку, однако, по словам экспертов, избыточное логирование может привести к выходу клиентских данных из защищённых систем.
Наконец, четверть уязвимостей связано с API. Если скрытые точки входа остаются без защиты, это также может повлечь утечки, рассказали безопасники. И заключили, что для безопасности API банкирам необходимо применять OAuth и JWT, а также проверять права доступа.
По данным ГК «Солар», в 2024 году из российских кредитных учреждений утекло 410 млн строк с информацией о клиентах, включая кредитную историю, — против 161 млн строк в 2023 году. По части утечек финсектор в прошлом году поставил антирекорд, обогнав все остальные секторы экономики.
