Эксперты «Нейроинформ» выявили топовые уязвимости в логистических компаниях по итогам III квартала 2024 года
Эксперты компании «Нейроинформ», специализирующейся на анализе и оценке киберрисков, назвали уязвимости наиболее распространенные среди логистических компаний в III квартале 2024 г. По данным специалистов, в топ-3 уязвимостей вошли уязвимости IDOR, ошибки в алгоритмах использования SMS как второго фактора при авторизации, регистрации или восстановлении пароля, а также слабые требования к сложности паролей в ПО, которое используется для работы с партнерами или подрядчиками. Для анализа были использованы данные клиентов «Нейроинформ». Об этом CNews сообщили представители компании «Нейроинформ».
Уязвимости в специализированном ПО наблюдаются у логистических компаний чаще всего и составляют 38% от общего числа уязвимостей в этой сфере в III квартале 2024 г. Обычно компании пишут такое ПО самостоятельно, и в нем довольно часто присутствуют критические уязвимости. Одной из самых распространенных является IDOR, с помощью которой можно просматривать чужие заказы с персональными данными клиентов (ФИО, номер телефона, адрес доставки). В данном случае злоумышленники подбирают идентификатор заказа и видят всю информацию по нему без авторизации.
Недостатки алгоритмов защиты в использовании SMS при регистрации, авторизации или восстановлении пароля также являются одной из самых массовых проблем логистических компаний и составляют 26% от общего числа всех уязвимостей отрасли в III квартале 2024 г. Такая уязвимость опасна тем, что приводит к ненужной трате средств компании на рассылку SMS. Киберпреступники с помощью скрипта вводят чужие номера телефонов, и система рассылает тысячи SMS, тратя деньги компании напрасно.
Слабые требования к паролям в ПО, которое используется для работы с партнерами и подрядчиками, является еще одной распространенной уязвимостью в логистике. Она составляет 14% от общего числа уязвимостей логистической сферы в III квартале 2024 г. Эксперты «Нейроинформ» установили, что в 75% случаев в этих сервисах не было установлено защиты от перебора паролей, и можно было получить доступ ко всем заказам компаний, выгрузить список курьеров с номерами телефонов, марками и номерами машин, а также адресами доставок и список товаров в доставке.
«К сожалению, хакеры довольно успешно используют различные уязвимости. Чтобы снизить уровень угрозы необходимо внедрять проверку кода на постоянной основе и проводить обучение программистов основам информационной безопасности на примере OWASP TOP 10. Также можно подумать об использовании компенсирующих мер в виде WAF. И конечно, проверять свою инфраструктуру на уязвимости минимум раз в год», – отметил Александр Дмитриев, генеральный директор компании «Нейроинформ».