Беззащитные заявки
Клиентов Бинбанка определили подбором
Персональные данные граждан, направляемые кредитной организации при запросе на выдачу кредита или карты, могут оказаться в открытом доступе. Даже если кредитной организации уже нет. Так произошло в результате выявления уязвимости веб-ресурса ныне ликвидированного Бинбанка. В «ФК Открытие», к которому был присоединен банк, сообщили, что ресурс заблокирован. Однако эксперты отмечают, что проблема характерна для банковских веб-сайтов, где экономили на безопасной разработке и защите.
В понедельник компания DeviceLock сообщила о выявленной утечке данных клиентов-физлиц, подававших в свое время заявки на получение кредитной карты Бинбанка «Эlixir». По заявителям доступны ФИО, паспортные данные, телефон и адрес проживания. Эти данные не находятся в открытом доступе, однако извлечь их можно методом подбора буквенно-цифровых сочетаний, поясняется в сообщении компании.
Как пояснил “Ъ” основатель DeviceLock Ашот Оганесян, скорее всего, имела место уязвимость API-механизма, через который сайт и мобильные приложения получают доступ к внутренней системе банка для передачи заявок на выпуск карт «Эlixir».
По его словам, в настоящее время известно, что уже найдено более 1000 анкет, однако при помощи автоматизированного перебора возможно получить все заявки, доступные через это API, а их могут быть десятки или даже сотни тысяч. По словам господина Оганесяна, если систему для Бинбанка делали сторонние разработчики, то велика вероятность подобных проблем и в других банках, использовавших то же решение.
Эксперты отмечают, что подобная утечка — не единичный случай. По словам вице-президента группы компаний InfoWatch Рустема Хайретдинова, схожая публичная история была еще в 2015 году с банком «Санкт-Петербург», когда злоумышленники также получили доступ к данным клиентов, после чего банк пересмотрел свой взгляд на безопасность. «Пресловутый принцип time-to-market требует от компаний выпускать новые сервисы как можно быстрее,— указывает эксперт.— И из-за этого банки порой отказываются от дополнительного времени на тестирование и исправление ошибок». По словам руководителя группы анализа защищенности Solar JSOC «Ростелеком-Solar» Александра Колесова, вероятно, в данном случае в ходе заполнения заявки на выдачу карты каждая страница сохранялась в кэше. Это требуется для того, чтобы сотрудник банка мог перезвонить клиенту, если тот вдруг передумал и не закончил процесс оформления. «Однако эти страницы хранились без каких-либо ограничений доступа по прямой ссылке»,— отметил он, указывая, что разные вариации данной уязвимости «встречаются довольно часто в банках». По словам руководителя группы исследований безопасности банковских систем Positive Technologies Ярослава Бабина, очевидно также отсутствие защиты от атаки перебором. Статистика уязвимостей веб-приложений за 2018 год показывает, что «уязвимости, связанные с аутентификацией, были выявлены в 74% приложений, из них 28% — это как раз возможность подбора данных», отметил господин Бабин.
В то же время подобные утечки грозят тем гражданам, чьи данные попали в открытый доступ, как минимум атаками с использованием социальной инженерии.
Решать же проблему приходится совершенно другому игроку, банку «ФК Открытие», к которому Бинбанк присоединился с 1 января 2019 года и где не обладают полной информацией, что происходило в присоединенном банке.
В частности, там не смогли ответить на вопрос “Ъ”, сколько всего было получено заявок через сайт, то есть сколько данных клиентов могут быть под угрозой. «Мы знаем, что с конца 2012 года Бинбанк действительно выпускал данный карточный продукт, в 2014 году проект был закрыт,— отметили в пресс-службе "ФК Открытие".— Сайты, на которых размещались данные, заблокированы». Вместе с тем, как отметили в банке, «установить разработчиков сервиса и ответственных за продукт практически невозможно».
При этом, отмечают эксперты, обычный гражданин, желающий оставить заявку на получение карты или кредита на сайте банка, никогда «на глаз» не определит, насколько он защищен от подобных утечек информации. «Без специальных инструментов безопасность сайта не оценить,— уверен Рустем Хайретдинов.— Но чем меньше банк и чем меньшая доля его клиентов обслуживается дистанционно, тем выше вероятность, что на безопасной разработке приложений и защите экономят».