ptsecurity Aug 9 2016 at 16:17

Уязвимости онлайн-банков 2016: лидируют проблемы авторизации

8 min

14K

Positive Technologies corporate blogInformation Security*

+11

Comments 9

lostpassword Aug 9 2016 at 22:21

Офигенная статистика, спасибо.
Даже как-то и не верится, что в половине банков можно запросто в СУБД залезть… Жесть какая-то.)

UFO just landed and posted this here

rami0 Aug 10 2016 at 09:32

Конкретные банки были проинфромированы и выданы рекомендации по устранению. Зачем вам нужна такая информация? :)

UFO just landed and posted this here

rami0 Aug 18 2016 at 13:59

Можно идти от обратного и поступить так:
— посмотреть банки в списке клиентов на сайте Positive Technologies
— если вашего банка в этом списке нет, можно рассмотреть переход на другой банк :)

NateF Aug 10 2016 at 00:51

Однако треть уязвимостей, обнаруженных в приложениях для iOS, характеризуются высокой степенью риска. Эти недостатки связаны с хранением и передачей важных данных в открытом виде.

А какие, например? Кроме описанного ниже случая с самоподписанными сертификатами.

ptsecurity Aug 10 2016 at 19:51

В полной версии исследования есть некоторые подробности (глава «Уязвимости клиентского ПО мобильных систем ДБО»).

whiplash Aug 10 2016 at 13:43

Кстати, а мода делать вход с веба в интернет-банк БЕЗ 2FA, а сеансовые ключи использовать только уже внутри, при операциях — это нормально вообще? Т.е. ЛЮБОЙ, знающий связку логин/пароль спокойно заходит и смотрит, что там у клиента.

А был банк, Сетелем кажется, у них вообще вход в личный кредитный кабинет по номеру телефона + номер договора + серия и номер паспорта вроде. Жесть просто.

NateF Aug 11 2016 at 14:18

Почему был, он до сих пор есть, но помню они хотели переделывать все это.