ИБ-специалист Павел Медведев рассказал в своём блоге об уязвимостях, которым подвержены сайты многих российских банков. Он пришёл к выводу, что к злоумышленникам могут попасть конфиденциальные данные клиентов, в том числе информация о платёжных картах.
21% банковских сайтов не содержат файл robots.txt, благодаря чему поисковые системы могут индексировать разделы с засекреченной и личной информацией. Это может приводить к утечкам различных документов, которые появятся в открытом доступе в поисковиках.
25% сайтов содержат элементы сторонней аналитики и счётчики посещений. Сами по себе такие элементы безопасны, однако они могут использоваться для передачи данных, введённых в формы, а также получения зашифрованных уникальных ссылок с доступом к банковским кабинетам.
Медведев суммирует, что примерно у трети банковских сайтов имеются проблемы с безопасностью, причём больше чем у 10% критические проблемы. Они наблюдаются в том числе у «Сбербанка».
Браузер Chrome с выпуском версии 68 стал помечать все сайты без поддержки HTTPS как опасные. Они открываются как прежде, но если вы попытаетесь ввести какие-либо данные в формы, то увидите предупреждение о том, что информация может быть перехвачена. Можно проигнорировать это предупреждение, если вы не опасаетесь перехвата данных. Также можно попытаться переключить сайт на использование протокола HTTPS: либо вручную, добавив в адресной строке к http букву s, либо настроив автоматическое переключение с помощью расширения HTTPS Everywhere.
Канал iG в Telegram — t.me/iguides_ru
