ИБ-эксперт Дмитриев: в 2025 году число уязвимостей в ретейле РФ выросло на 28%

Три основных типа уязвимостей, выявленных в первом квартале, занимают лидирующие позиции. Наибольшее количество случаев связано с нарушением контроля доступа к конфиденциальной информации, что составило 34% всех выявленных проблем. Следом идет отсутствие защиты от перебора паролей и пользователей в веб-приложениях, на долю которой приходится 26%. Тройку замыкает отсутствие аутентификации на API-вызовах, что составляет 21% от общего числа уязвимостей. Эксперты подчеркивают, что наибольшую опасность представляет именно нарушение контроля доступа, поскольку это создает значительную угрозу для всей корпоративной инфраструктуры.

Специалисты компании отмечают, что в публичных материалах, таких как рекламные буклеты и инструкции, могут обнаруживаться утечки внутренней информации, включая доменные имена и IP-адреса. Также фиксируются случаи хранения учетных данных пользователей в метаданных изображений или конфигурационных файлах, доступных онлайн, что представляет собой серьезный риск. Особенно опасны открытые лог-файлы, куда записываются данные пользователей, такие как логины и пароли, что создает возможность для злоумышленников проводить более целенаправленные атаки.

Отсутствие защиты от перебора паролей также вызывает серьезные опасения. Эта уязвимость позволяет киберпреступникам использовать автоматические инструменты для подбора паролей, что усугубляется отсутствием двухфакторной аутентификации и систем, способных блокировать подозрительную активность. Согласно опыту «Нейроинформ», успешное использование данной уязвимости может привести к доступу к административным панелям сайтов и к компрометации внутренних сетей компаний.

Наконец, отсутствие аутентификации на API-вызовах выделяется как новая, но серьезная угроза. Многие компании строят свои сервисы на API, которые не имеют механизмов аутентификации, что может привести к утечке данных и другим серьезным последствиям, включая возможность фишинга и наложение штрафов со стороны регуляторов.