Уязвимость в приложении ритейлера «Лента» позволяет управлять аккаунтами клиентов и определять их адрес по номеру телефона, утверждают специалисты по информационной безопасности. В самой «Ленте» такую возможность отрицают. Ритейлеры часто не имеют собственных квалифицированных команд по тестированию приложений, а в условиях пандемии безопасность отошла на второй план в погоне за цифровизацией, полагают эксперты.
Фото: Евгений Павленко, Коммерсантъ / купить фото
Уязвимость в мобильном приложении сети супермаркетов «Лента» позволяет получать доступ к аккаунтам пользователей и управлять ими, заявили “Ъ” в компании по информационной безопасности Postuf. По номеру телефона пользователя злоумышленники могут получить доступ к информации о клиентах из базы «Ленты», в том числе фамилии, имени, отчеству, дате рождения, телефону, email, адресу, на который пользователь заказывал доставку, номеру карты лояльности с баллами, сообщили в компании.
Эту информацию можно редактировать, а также распоряжаться баллами, например, перевести их другу, рассказал основатель Postuf Бекхан Гендаргеноевский. Он продемонстрировал работу описанного механизма, предоставив информацию из базы «Ленты» по номеру телефона корреспондента “Ъ”, а также поменяв пароль в его аккаунте.
Вероятно, с помощью этой уязвимости методом подбора телефонных номеров была собрана база пользователей «Ленты», об утечке которой РБК сообщал в феврале 2020 года, полагает господин Гендаргеноевский.
В пресс-службе «Ленты» заявили “Ъ”, что информация об уязвимости не соответствует действительности.
Уязвимость опасна, поскольку данные могут использоваться для атак методами социальной инженерии, например телефонными мошенниками, полагает руководитель исследовательской группы отдела аналитики информационной безопасности Positive Technologies Екатерина Килюшева. С учетом того что приложение «Ленты» использует данные геолокации и хранит информацию об адресах клиентов, то при необходимости злоумышленник может получить информацию о месте жительства нужного ему человека, полагает руководитель направлений управления информбезопасности Softline Илья Тихонов. Кроме того, во многих крупных магазинах процедура списания бонусов упрощена, не требует дополнительных подтверждений по СМС и даже не сопровождается уведомлением вне приложения, отмечает он.
Если возможно получить доступ к профилям других пользователей по номеру телефона, то, применив несложную автоматику, за короткое время злоумышленники получат доступ к профилям всех пользователей, добавляет технический директор Trend Micro в России и СНГ Михаил Кондрашин.
Внезапный переход на «удаленку» потребовал от ритейлеров оперативно цифровизироваться, но оперативность часто достигается за счет минимизации внимания к информационной безопасности, рассуждает руководитель отдела продвижения продуктов компании «Код безопасности» Павел Коростелев.
Обычно, прежде чем приложение будет запущено в промышленную эксплуатацию, его тщательно проверяет команда специалистов по безопасности, что требует дополнительных ресурсов и времени. В условиях пандемии и связанных с ней ограничений выпустить приложение раньше конкурентов зачастую важнее, чем полностью его вычистить с точки зрения уязвимостей, полагает господин Коростелев. Например, уровень защищенности популярных приложений для фитнеса в среднем оценивается на два балла из пяти, сообщал “Ъ” 8 апреля 2020 года.
Часто ритейлеры не имеют собственных квалифицированных команд по разработке и тестированию приложений, а подрядчики не всегда могут создать качественный и безопасный продукт, согласен руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев. По его мнению, в подобных случаях нельзя исключать, что разработчики намеренно оставили лазейку, которая потом послужила «воротами» для хакеров.