Эксперты компании “Нейроинформ”, специализирующейся на анализе и оценке киберрисков, назвали уязвимости наиболее распространённые среди логистических компаний в 3 квартале 2024 года.
По данным специалистов, в ТОП-3 уязвимостей вошли уязвимости IDOR, ошибки в алгоритмах использования СМС как второго фактора при авторизации, регистрации или восстановлении пароля. А также слабые требования к сложности паролей в ПО, которое используется для работы с партнерами или подрядчиками. Для анализа были использованы данные клиентов “Нейроинформ”.
Уязвимости в специализированном ПО наблюдаются у логистических компаний чаще всего и составляют 38% от общего числа уязвимостей в этой сфере в 3 квартале 2024 года.
Обычно компании пишут такое ПО самостоятельно, и в нём довольно часто присутствуют критические уязвимости. Одной из самых распространенных является IDOR, с помощью которой можно просматривать чужие заказы с персональными данными клиентов (ФИО, номер телефона, адрес доставки). В данном случае злоумышленники подбирают идентификатор заказа и видят всю информацию по нему без авторизации.
Недостатки алгоритмов защиты в использовании СМС при регистрации, авторизации или восстановлении пароля также являются одной из самых массовых проблем логистических компаний и составили 26% от общего числа всех уязвимостей отрасли в 3 квартале этого года. Такая уязвимость опасна тем, что приводит к ненужной трате средств компании на рассылку СМС. Киберпреступники с помощью скрипта вводят чужие номера телефонов, и система рассылает тысячи СМС, тратя деньги компании напрасно.
Слабые требования к паролям в ПО, которое используется для работы с партнерами и подрядчиками, является еще одной распространенной уязвимостью в логистике. Она составила 14% от общего числа уязвимостей логистической сферы в 3 квартале 2024 года. Эксперты “Нейроинформ” установили, что в 75% случаев в этих сервисах не была установлена защита от перебора паролей, и можно было получить доступ ко всем заказам компаний, выгрузить список курьеров с номерами телефонов, марками и номерами машин, а также адресами доставок и список товаров в доставке.
“К сожалению, хакеры довольно успешно используют различные уязвимости. Чтобы снизить уровень угрозы необходимо внедрять проверку кода на постоянной основе и проводить обучение программистов основам информационной безопасности на примере OWASP TOP 10. Также можно подумать об использовании компенсирующих мер в виде WAF. И конечно, проверять свою инфраструктуру на уязвимости минимум раз в год.” — отметил Александр Дмитриев, генеральный директор компании “Нейроинформ”.