Перейти к содержанию
Авторизация  
Ippolitovich

Практически каждое второе веб-приложение допускает кражу данных пользователей


Рекомендуемые сообщения

Компания Positive Technologies опубликовала неутешительные результаты анализа безопасности веб-приложений: исследование говорит о том, что защита подобных платформ оставляет желать много лучшего.

 

ht1.jpg


Так, практически все системы — 96 % — теоретически обеспечивают возможность организации атак на пользователей. Несанкционированный доступ к веб-приложению может быть получен примерно в каждом втором случае (48 %). При этом возможность получения полного контроля над приложением была выявлена примерно в каждом шестом случае (17 %).

В число самых распространённых проблем входят «Межсайтовое выполнение сценариев» (Cross-Site Scripting), «Подделка межсайтового запроса» (Cross-Site Request Forgery) и «Открытое перенаправление» (URL Redirector Abuse). Кроме того, часто встречается уязвимость «Внедрение операторов SQL».

 

ht2.jpg


Оказалось, что киберпреступники могут похитить персональные данные пользователей практически в каждом втором веб-приложении: такая проблема затрагивает 44 % систем. Речь идёт в том числе о финансовых учреждениях, интернет-магазинах и телекоммуникационных компаниях. При этом доля приложений, для которых существует угроза утечки критически важной информации, составляет 70 %.

Эксперты пришли к выводу, что две трети обнаруженных ошибок (65 %) были допущены при разработке приложений и содержатся в их программном коде. А каждая третья проблема безопасности связана с некорректными параметрами конфигурации веб-серверов.


____________________________________________________________
♦♦♦♦♦♦♦♦◄♫►WeissRussland◄♫►♦♦♦♦♦♦◄♠GRODNO♠►♦♦♦♦♦♦♦♦
---------------------------------------------------------------------------------------------------------
♠ 75.0°e ♣ 53.0°e ♦ 36.0°e ♥ 19.2°e ♠ 13.0°e ♥ 4.8°e ♠ 4.0°w ♣ 5.0°w ♦
____________________________________________________________

Поделиться сообщением


Ссылка на сообщение

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
Авторизация  

  • Похожий контент

    • От душман
      Огромная база данных, содержащая электронные адреса, незашифрованные пароли и частичные номера кредитных карт, оказалась на бесплатном публичном хостинге.
      В общей сложности 41 826 763 уникальных пароля и электронных адресов были загружены на анонимный хостинговый сервис kayo.moe (755 файлов размером 1,8 ГБ). Оператор сервиса отправил БД исследователю безопасности Трою Ханту.
      Судя по формату данных, Хант предположил, что они были подготовлены для использования в атаке, известной как credential stuffing.
      Более 91% утекшей информации уже есть в управляемом Хантом сервисе Have I Been Pwned, позволяющем пользователям узнавать, были ли взломаны их учетные записи. Определить источник утечки по именам файлов невозможно, так как они были обфусцированы, вероятно, в процессе загрузки на kayo.moe.
      Credential stuffing (вброс регистрационных данных) – вид кибератаки наподобие брутфорса. Отличается от последнего тем, что перебор вариантов осуществляется не по словарю или спискам часто используемых логинов и паролей, а по заранее приобретенной базе похищенных данных.
    • От Ippolitovich
      «Лаборатория Касперского» предупреждает о том, что в России наблюдается масштабная кампания по заражению Android-устройств опасной вредоносной программой под названием Asacub.
       


      Названный зловред — это троян, главной задачей которого является кража данных банковских карт жертвы. Кроме того, Asacub может выполнять ряд других функций. В частности, программа способна отправлять злоумышленникам информацию о заражённом устройстве и список контактов, звонить на определённые номера, отправлять SMS-сообщения с указанным текстом на указанный номер, закрывать определённые приложения и пр.
      Схема распространения зловреда выглядит следующим образом. Пользователь получает SMS со знакомого номера с тем или иным текстом и предложением перейти по указанной ссылке. При переходе на такой сайт открывается страница загрузки трояна с инструкциями по его установке.
       


      Как уже было отмечено, сообщения приходят со знакомого номера. Более того, троян обращается к жертвам по имени. Достигается это за счёт того, что сообщения рассылаются со смартфона предыдущей жертвы и в них автоматически подставляются те имена, под которыми номера записаны в телефонной книге на заражённом аппарате.
      В настоящее время количество российских пользователей Android, которым приходят сообщения от зловреда, достигает 40 тыс. в сутки. 
    • От Ippolitovich
      На сайте Федеральной комиссии связи США (FCC) обнародована информация о новом смартфоне Samsung бюджетного семейства Galaxy J-Series: аппарат имеет обозначение SM-J415GN.
       


      Ожидается, что на коммерческом рынке новинка дебютирует под именем Galaxy J4+. Смартфон будет представлять собой улучшенную версию модели Galaxy J4 (2018), которая показана на первом изображении.
      Сетевые источники сообщают, что готовящийся аппарат получит дисплей с соотношением сторон 18,5:9. Его размер, по всей видимости, будет увеличен по сравнению со смартфоном Galaxy J4 (2018), который оборудован 5,5-дюймовым экраном формата HD (1280 × 720 точек).
      Изображения, опубликованные на сайте FCC, говорят о том, что аппарат Galaxy J4+ сможет идентифицировать пользователей по лицу. Сказано о поддержке двух SIM-карт. Кроме того, упомянуты полностью программные кнопки управления под экраном.
       


      Сертификация FCC означает, что анонс новинки уже не за горами. Смартфон Galaxy J4+ может дебютировать в текущем или следующем квартале.
      По оценкам Gartner, во втором квартале 2018 года конечным потребителям было поставлено 374,3 млн «умных» сотовых аппаратов. Это на 2 % больше по сравнению со второй четвертью 2017 года. 
    • От Ippolitovich
      Исследование, проведённое «Лабораторией Касперского», говорит о том, что кражи и утечки данных в нашей стране зачастую оборачиваются увольнениями сотрудников пострадавших компаний.
       


      По статистике, за последний год проблема утечки конфиденциальной информации затронула треть — 32 % — российских компаний. При этом значительную долю скомпрометированных сведений (40 %) составили личные данные клиентов и сотрудников компании.
      Понятно, что такие инциденты наносят серьёзный удар по бизнесу и репутации пострадавших компаний. Кроме того, подобные атаки оборачиваются серьёзными финансовыми потерями. Так, каждой третьей компании пришлось заплатить компенсации пострадавшим клиентам. Каждая четвёртая организация сообщила, что после инцидента у неё возникли проблемы с привлечением новых клиентов. А каждая пятая была вынуждена заплатить штраф.
       


      Поэтому неудивительно, что утечки конфиденциальной информации приводят к увольнениям сотрудников IT-подразделений. В частности, чаще всего из-за подобных кибератак работы лишаются руководители IT-отделов — в 31 % случаев. Каждая четвёртая компания вынуждена расстаться со специалистами, не имеющими никакого отношения к IT. А в 9 % случаев работу теряют самые высокопоставленные сотрудники, в частности, генеральные директора.  В целом, каждая третья утечка данных в России оборачивается увольнениями.
    • От душман
      «Т2 РТК холдинг» (оказывает услуги сотовой связи под брендом Tele2) предлагает экспериментальный путь развития интернет-доступа на Дальнем Востоке. По словам генерального директора компании Сергея Эмдина, в регионе необязательно тянуть оптоволокно — на последних 10–15 милях до конечного пользователя Интернет может доходить за счёт возможностей мобильной инфраструктуры.
      «На Дальнем Востоке есть перспективы, как в сотрудничестве с нашей материнской компанией "Ростелеком" по устранению цифрового неравенства — протягиванию "последней мили", так и по сотрудничеству с бизнесом. Мы видим свою миссию в том, чтобы сделать ряд традиционных бизнесов более высокотехнологичными, высокоинтеллектуальными и не просто «для галочки», а чтобы повысить их эффективность и продуктивность», — заявил Эмдин в рамках специализированной панельной дискуссии, состоявшейся в ходе Восточного экономического форума.
      По словам главы Tele2, благодаря экспериментальному подходу, который позволит не тянуть оптоволокно до конечных потребителей, можно значительно сократить расходы на строительстве сетей, а также предлагать клиентам качественный продукт.
      Сергей Эмдин также рассказал о планах Tele2 запустить пилотные проекты по цифровизации нескольких аквакультурных ферм в Приморском крае. Речь идёт о сервисах, повышающих продуктивность технологического процесса и снижающих риски потери продукции из-за резких климатических изменений или болезней, сообщил он.
×
×
  • Создать...