Российские банки совершенно не умеют защищать информацию

Александр
Банк

ИБ-специалист Павел Медведев рассказал в своём блоге об уязвимостях, которым подвержены сайты многих российских банков. Он пришёл к выводу, что к злоумышленникам могут попасть конфиденциальные данные клиентов, в том числе информация о платёжных картах.

51% российских банков не используют на своих сайтах протокол HTTPS и SSL-сертификаты, из-за чего введённые на страницах данные не шифруются и могут быть перехвачены или подменены с помощью атаки man-in-the-middle.

21% банковских сайтов не содержат файл robots.txt, благодаря чему поисковые системы могут индексировать разделы с засекреченной и личной информацией. Это может приводить к утечкам различных документов, которые появятся в открытом доступе в поисковиках.

25% сайтов содержат элементы сторонней аналитики и счётчики посещений. Сами по себе такие элементы безопасны, однако они могут использоваться для передачи данных, введённых в формы, а также получения зашифрованных уникальных ссылок с доступом к банковским кабинетам.

Медведев суммирует, что примерно у трети банковских сайтов имеются проблемы с безопасностью, причём больше чем у 10% критические проблемы. Они наблюдаются в том числе у «Сбербанка».

Браузер Chrome с выпуском версии 68 стал помечать все сайты без поддержки HTTPS как опасные. Они открываются как прежде, но если вы попытаетесь ввести какие-либо данные в формы, то увидите предупреждение о том, что информация может быть перехвачена. Можно проигнорировать это предупреждение, если вы не опасаетесь перехвата данных. Также можно попытаться переключить сайт на использование протокола HTTPS: либо вручную, добавив в адресной строке к http букву s, либо настроив автоматическое переключение с помощью расширения HTTPS Everywhere



Канал iG в Telegram — t.me/iguides_ru
-1

Будь в курсе последних новостей из мира гаджетов и технологий

Мы в соцсетях

Комментарии

Lord
+585
Меньше пишите про названия скриптов.
25 июля 2018 в 23:20
#
+857
Всю информацию можно получить через сайт Госуслуг! Одно название вроде как должно внушать доверие но как только начинаешь пользоваться как понимаешь какая это шляпа! Вот именно по этой причине и невозможностью как то адекватно работать с этой программой да и в виду отсутствия интернета как и компьютеров у населения сами по себе исчезли очереди в поликлиниках, ГИБДД, и других госучереждениях! Зато правительство отчиталось об исчезновении очередей — молодцы!
26 июля 2018 в 04:09
#
+145
Бред, ни один банк не размещает никакие важные данные на сайте)
А в интернет банкирше всегда страница шифруется, так как он отдельно открывается. Статье минус ставлю, а этого ИБшника кастрировать нужно за такую информацию, да и в банках в ИБ обычно тупицы работают.
26 июля 2018 в 07:34
#
Mister Smith
0
51% банков не использует на своих сайтах протокол "аш-ти-ти-пи-эс"? Перещелкал десять банков которые пришли в голову и у всех заканчивается на "эс". Эту статью не из архива 2003 года сюда скопировали?
29 июля 2018 в 00:58
#
–11
5 июля 2020 в 01:50
#