Беззащитные заявки

Клиентов Бинбанка определили подбором

Персональные данные граждан, направляемые кредитной организации при запросе на выдачу кредита или карты, могут оказаться в открытом доступе. Даже если кредитной организации уже нет. Так произошло в результате выявления уязвимости веб-ресурса ныне ликвидированного Бинбанка. В «ФК Открытие», к которому был присоединен банк, сообщили, что ресурс заблокирован. Однако эксперты отмечают, что проблема характерна для банковских веб-сайтов, где экономили на безопасной разработке и защите.

В понедельник компания DeviceLock сообщила о выявленной утечке данных клиентов-физлиц, подававших в свое время заявки на получение кредитной карты Бинбанка «Эlixir». По заявителям доступны ФИО, паспортные данные, телефон и адрес проживания. Эти данные не находятся в открытом доступе, однако извлечь их можно методом подбора буквенно-цифровых сочетаний, поясняется в сообщении компании.

Как пояснил “Ъ” основатель DeviceLock Ашот Оганесян, скорее всего, имела место уязвимость API-механизма, через который сайт и мобильные приложения получают доступ к внутренней системе банка для передачи заявок на выпуск карт «Эlixir».

По его словам, в настоящее время известно, что уже найдено более 1000 анкет, однако при помощи автоматизированного перебора возможно получить все заявки, доступные через это API, а их могут быть десятки или даже сотни тысяч. По словам господина Оганесяна, если систему для Бинбанка делали сторонние разработчики, то велика вероятность подобных проблем и в других банках, использовавших то же решение.

Эксперты отмечают, что подобная утечка — не единичный случай. По словам вице-президента группы компаний InfoWatch Рустема Хайретдинова, схожая публичная история была еще в 2015 году с банком «Санкт-Петербург», когда злоумышленники также получили доступ к данным клиентов, после чего банк пересмотрел свой взгляд на безопасность. «Пресловутый принцип time-to-market требует от компаний выпускать новые сервисы как можно быстрее,— указывает эксперт.— И из-за этого банки порой отказываются от дополнительного времени на тестирование и исправление ошибок». По словам руководителя группы анализа защищенности Solar JSOC «Ростелеком-Solar» Александра Колесова, вероятно, в данном случае в ходе заполнения заявки на выдачу карты каждая страница сохранялась в кэше. Это требуется для того, чтобы сотрудник банка мог перезвонить клиенту, если тот вдруг передумал и не закончил процесс оформления. «Однако эти страницы хранились без каких-либо ограничений доступа по прямой ссылке»,— отметил он, указывая, что разные вариации данной уязвимости «встречаются довольно часто в банках». По словам руководителя группы исследований безопасности банковских систем Positive Technologies Ярослава Бабина, очевидно также отсутствие защиты от атаки перебором. Статистика уязвимостей веб-приложений за 2018 год показывает, что «уязвимости, связанные с аутентификацией, были выявлены в 74% приложений, из них 28% — это как раз возможность подбора данных», отметил господин Бабин.

В то же время подобные утечки грозят тем гражданам, чьи данные попали в открытый доступ, как минимум атаками с использованием социальной инженерии.

Решать же проблему приходится совершенно другому игроку, банку «ФК Открытие», к которому Бинбанк присоединился с 1 января 2019 года и где не обладают полной информацией, что происходило в присоединенном банке.

В частности, там не смогли ответить на вопрос “Ъ”, сколько всего было получено заявок через сайт, то есть сколько данных клиентов могут быть под угрозой. «Мы знаем, что с конца 2012 года Бинбанк действительно выпускал данный карточный продукт, в 2014 году проект был закрыт,— отметили в пресс-службе "ФК Открытие".— Сайты, на которых размещались данные, заблокированы». Вместе с тем, как отметили в банке, «установить разработчиков сервиса и ответственных за продукт практически невозможно».

При этом, отмечают эксперты, обычный гражданин, желающий оставить заявку на получение карты или кредита на сайте банка, никогда «на глаз» не определит, насколько он защищен от подобных утечек информации. «Без специальных инструментов безопасность сайта не оценить,— уверен Рустем Хайретдинов.— Но чем меньше банк и чем меньшая доля его клиентов обслуживается дистанционно, тем выше вероятность, что на безопасной разработке приложений и защите экономят».

Автор
Вероника Горячева
Автор фотографии
Эмин Джафаров

Статьи

Правительство отказалось от введения налога на попутный нефтяной газ

Вице-премьер Юрий Борисов, который с конца января 2020 года кроме оборонного…

«Достигли точки перегиба»: что ждет Россию после проигранного суда с ЮКОСом на $50 млрд

Во вторник, 18 февраля Апелляционный суд Гааги вынес решение по судебной тяжбе…

Странная сделка: Ротенберги продали компанию за украденные у них же миллиарды

Одна из крупнейших сделок в России в 2019 году — продажа компании «…

Экс-акционеры ЮКОСа возобновят попытки ареста активов РФ

Бывшие акционеры ЮКОСа возобновят попытки ареста активов России в других…

ЛУКОЙЛУ предлагают побороться за Тюлений

ЛУКОЙЛ, который ограничен в доступе к российскому шельфу, не сможет получить…

Санкции, электробусы, Росгвардия: зачем убыточному «КАМАЗу» убыточные «Соллерс» и УАЗ?

Известие о вероятном создании альянса и даже об объединении ПАО «КАМАЗ» и ПАО «…

Аналитика

Фонд семьи Евтушенкова купит у Metro немецкие гипермаркеты Real

Люксембургская финансово-инвестиционная компания SCP Group, 49% в которой…

Россия проиграла в споре с ЮКОСом на $50 млрд

Бывшие акционеры ЮКОСа взяли реванш в споре с Россией и теперь могут…

ТАЙНОЕ ФИНАНСОВОЕ ЗАКУЛИСЬЕ «СТРОЙГАЗМОНТАЖА»

В конце прошлого года была закрыта сделка, касающаяся продажи частной компании…

Спасти олигарха

Предложение бизнесмена Дмитрия Босова продать свои угольные активы на Таймыре…

Вышел Михель из тумана

Чудные дела творятся в обновлённом правительстве. С одной стороны, президент…

Мордашов и Собянин спонсируют русофобов?

В Сети, например, опубликованы сведения о спонсорах либерально-оппозиционного,…

"Пиломатериалы" полковника Андрея Пилипенко

Напомним, что Пилипенко: сейчас является вице- президентом АФК "Система". По…

Выручка "Вымпелкома" по МСФО в IV квартале снизилась на 3,3%

Выручка "Вымпелкома" (торговая марка "Билайн") по МСФО в четвертом квартале…

Мельниченко "подберет" РЖД?

По информации корреспондента The Moscow Post, начальная стоимость пакета акций…

Каан Терзиоглу из Veon возглавит совет директоров "Вымпелкома"

Операционный содиректор Veon Каан Терзиоглу заявил, что возглавит совет…

Дерипаску подвели «деньги Путина»

Управление по контролю над иностранными активами (OFAC) Минфина США считает,…

Миллиардер-прораб Леонид Михельсон: Воплощение американской мечты на российской земле

Создатель «НОВАТЭКа» Леонид Михельсон – один из самых богатых, но далеко не…

В «Белнефтехиме» опровергли ограничение поставок российским АЗС

Пресс-секретарь «Белнефтехима» Александр Тищенко заявил, что концерн не…

НЛМК назвал незначительным влияние коронавируса на рынок стали

Пока последствия для рынка стали от ограничений, которые вводятся в мире из-за…

Меткомпания Алексея Мордашова потратилась на автоматику по учёту атмосферных выбросов

Северсталь устанавливает автоматические системы учета выбросов загрязняющих…