Почему каждый третий банк и маркетплейс можно взломать прямо сейчас?

Если вы думаете, что ваши деньги в банке или личные данные на любимом маркетплейсе защищены глухой стеной из шифрования и передовых систем кибербезопасности, то у экспертов по ИБ для вас очень плохие новости. На недавней профильной конференции «Финтех в безопасности» компания «Комплаинс Контрол» поделилась шокирующей статистикой: почти 30% российских финтех-компаний, банков и ритейлеров имеют критические уязвимости.

Специалисты подвели итоги более чем 1300 тестов на проникновение (так называемых пентестов, когда «белые» хакеры пытаются легально взломать систему по заказу самой компании). Результаты оказались разгромными. Выяснилось, что за последние 14 лет жестких проверок ни один участник не смог пройти тест идеально, без замечаний. Вообще ни один. При этом у каждой третьей компании дыры в безопасности настолько огромные, что злоумышленники могут получить полный доступ к инфраструктуре.

Самое абсурдное, что уязвимости носят банальный, кочующий из года в год характер. В банках до сих пор находят пароли, которые хранятся в открытом текстовом виде, и несанкционированные папки с данными пластиковых карт. В финтех-стартапах процветают дефолтные логины вроде admin/admin и простейшие ошибки конфигурации. А на маркетплейсах и в крупном ритейле хакеры легко ломают бонусные системы, обходят логику оплаты (например, заставляя систему округлять цену товара до копеек) и воруют базы данных клиентов из-за кривого контроля сессий. Ситуация усугубляется тем, что на носу легализация операций с цифровыми валютами, которая привлечет к финансовому сектору еще больше профессиональных хакеров.

Знаете, эта статистика — самый наглядный пример того, что в гонке за красивыми интерфейсами и быстрыми транзакциями крупный бизнес напрочь забыл про базовую гигиену. Нам каждый день рассказывают про биометрию, нейросети на страже антифрода и квантовое шифрование, а на деле у каждого третьего банка под капотом сидит условный сисадмин Вася, который поленился поменять стандартный заводской пароль на сервере или оставил тестовую базу данных открытой для всего интернета.

Вся наша цифровая экосистема, которая кажется такой удобной, сейчас напоминает глянцевый небоскреб, построенный из картона и палок. Ритейл и маркетплейсы так спешат выкатить новые фичи, запустить очередную реферальную программу или систему скидок, что ИБ-отделы просто не успевают проверять код на ошибки. Программисты пишут софт на коленке, используют готовые бесплатные библиотеки из открытого кода (где критических уязвимостей вообще пруд пруди), а бизнес пожинает плоды в виде регулярных «сливов» миллионов телефонных номеров и адресов доставки.

И тот факт, что за 14 лет ни одна (!) компания не прошла проверку чистой, говорит о системном кризисе. Кибербезопасность в коммерческих структурах до сих пор воспринимается как досадная статья расходов, которая мешает зарабатывать деньги и тормозит процессы. Мол, зачем тратить миллионы на сложный аудит, если пока не взломали? Но фишка в том, что хакеры сегодня — это не прыщавые подростки из подвалов, а высокотехнологичные международные ОПГ, которые используют ИИ для поиска этих самых 30% критических дыр. И пока топ-менеджмент банков и маркетплейсов не поймет, что безопасность должна закладываться в проект еще на этапе фундамента, а не прикручиваться синей изолентой сверху, мы так и будем каждую неделю читать новости о том, что данные очередных тридцати миллионов пользователей утекли в сеть. Спасение наших кошельков сейчас — это дело рук нас самих, так что как минимум не ставьте одинаковые пароли на банковские приложения и личные кабинеты интернет-магазинов. Безопасники за вас это точно не сделают.

Драгон Мани Вход — https://t.me/s/dragonmoney_kazik