Исследование Тинькофф: какие ошибки в кибербезопасности чаще всего допускает бизнес
Тинькофф Бизнес провел исследование самых распространенных ошибок в сфере информационной безопасности, которые допускают компании из сегмента малого и среднего бизнеса.
В ходе исследования были проанализированы более 40 тысяч сайтов и баз данных компаний разного масштаба из различных отраслей. Все сайты, попавшие в выборку исследования, проверялись три раза на предмет устранения уязвимостей — в мае, июле и августе 2021 года.
За это время аналитики Тинькофф Бизнеса выявили 20 видов ошибок. Самые распространенные были связаны с доменом, базами данных и шифрованием.
Почти половина (46%) сайтов и баз данных компаний оказалась под угрозой — мошенники могут легко их увести или воспользоваться дырами в безопасности. Каждая пятая компания допускает у себя, как минимум, две ошибки.
Самые частые ошибки и способы их решения
1. Неверифицированный домен. Самая распространенная киберугроза для компаний МСБ — отсутствие верификации домена, то есть адреса сайта. Она встречается у каждой третьей компании (34%). Эта угроза означает, что при покупке адреса компания или предприниматель не подтвердили, что сайт будет принадлежать именно им.
Если у сайта нет верификации, злоумышленник может заявить, что именно он является его владельцем, получить на него права, а компания больше не сможет использовать собственный адрес.
Чтобы сохранить домен, нужно обратиться к регистратору с письмом и подтвердить свои права на домен.
2. Незащищённая база данных. Более чем у четверти компаний малого и среднего бизнеса (27%) база данных не защищена. Мошенник может беспрепятственно скачать данные о клиентах, сотрудниках, компании. Например, имена, адреса, номера телефонов, сумму сделки. Чтобы украсть данные, злоумышленнику достаточно обнаружить ошибки, сообщающие, что база данных открыта, и просто подобрать к ней пароль и логин.
Осложнить жизнь мошенникам в этой ситуации можно разными способами: закрыть порт базы данных, усложнить к ней пароль или включить фильтрацию IP-адресов, чтобы открыть данные могли только владельцы бизнеса и доверенные лица.
3. Ошибка сертификата безопасности. SSL сертификат необходим для того, чтобы работать по протоколу безопасного соединения HTTPS. Сертификат подтверждает, что сайт принадлежит конкретной организации, позволяет узнать сервер и подтвердить безопасность сайта. У 15% компаний сертификат не соответствует действующему домену, и сайт оказывается уязвимым к атакам с перехватом данных. При заходе на страницу пользователи видят, что подключение не защищено.
Чтобы решить проблему, нужно перевыпустить сертификат.
4. Слабая защита от шифровальщиков. Если мошенник получит доступ к информационным ресурсам организации, он может зашифровать данные и заблокировать их использование для компании и ее сотрудников. В дальнейшем преступники могут вымогать деньги за возврат данных. 9% сайтов МСБ слабо защищены от блокировки доступа к данным.
Порты для шифровальщиков закрыты по умолчанию, открывают их в основном по недосмотру.
Решение у проблемы простое — закрыть порт. Ни для чего, кроме работы мошенников он не нужен.
5. Просроченный SSL-сертификат. SSL сертификат гарантирует сайту безопасность, а пользователю — конфиденциальность. При истечении срока действия сертификата браузер сообщает всем посетителям, что соединение не защищено. Это снижает доверие пользователей, и компания теряет потенциальных клиентов. Перевыпустить сертификат вовремя забывают 7% компаний МСБ.
Самые редкие уязвимости связаны с удалённым управлением серверами компаний — на них приходится чуть больше 5% ошибок.
Клиенты Тинькофф Бизнеса могут бесплатно проверить свои информационные ресурсы на предмет наличия ошибок в кибербезопасности. Для этого нужно оставить заявку в чате мобильного приложения. Аналитики Тинькофф Бизнеса проведут проверку и составят отчет, в котором будут отражены найденные угрозы безопасности из перечисленных в исследовании и предложены решения их нейтрализации.
Вот бы Тинькофф перестал сливать данные клиентов. Заказал карту, 2 недели атаковали разные банки. Отправил запрос на расчет кредита, снова та же история. Ребята, не вам рассказывать о кибербезопасности.
Здравствуйте. Таким мы точно не занимаемся. Чтобы мы проверили ваш случай, пожалуйста, отправьте ФИО и дату рождения нам в личку. Также мы можем исключить ваш номер из обзвона и более не потревожить, если хотите.
Отправить вам ФИО и др чтобы что? Получить отписку "мы все проверили и ничего не нашли"?
Мы всегда предоставляем полноценный ответ.
А когда спамите, при возмущении просто говорите "ваши данные взяты из публичных источников". Т.е. срете прямо в лицо тому, кого только что лизали, чтобы он у вас карту завел, конченые.
То, что закон запрещает обработку, вам срать.
Вот такой ответ - был бы полноценным, а не "ваши данные взяты из публичных источников"
Мы проводим комплексную проверку и предоставляем клиентам только правдивый ответ. Обманывать клиентов — точно не про нас.
Согласен, "ваши данные из публичных источников поэтому мы вас спамим" - вполне правдиво, не поспоришь.
Но, по сути, просто гниль в том, что это дает вам право спамить.
Можете тут еще раз это подтвердить? Ну что можно спамить человека если нашел его номер в интернете?
Мы не спамим, а осуществляем звонки с предложениями. Если мы вас потревожили или вы столкнулись с подобной ситуацией, о которой вы пишите выше, то, пожалуйста, отправьте ваши ФИО и дату рождения нам в личку. Все проверим.
они чувствуют безнаказанность + судя по всему скоро будут продаваться.
поэтому их цель- нагнать клиентскую базу и все
с клиентами у них отношение отвратительное
про вас. и все жто знают.
из за вас на мне более 10 займов и куча проблем!
а вы тупо молчите тк вам сказать нечего уже 4ый месяц!!!
О да, лично столкнулся с этим в том году, когда пытался оформить полис ОСАГО. Весь банки.ру пестрит этими ответами.
НИКОГДА!!!! вы никогда не предоставляете полноценных ответов!!
на мо. ситуацию как с вы отдавали мои данные и доступы мошенникам 2 раза ваш ответ : 1 раз я сам отдал а 2 раз - вы запутались, так ято извините, всего доброго!
Занимаетесь, и ещё как
Здравствуйте. Тут имеется ввиду, что мы не передаем какую-либо информацию клиентов с целью нанести какой-то ущерб, так как мы ценим своих клиентов и оберегаем их.
Сам по себе факт передачи данных клиентов кому угодно, кроме государству в силу закона прям говорит о том, как Вы цените клиентов
это да, но не страшно
хуже что они телефоны клиентов мобайла сливают мошенникам и дают им доступы к ЛК банка и гос услугам, чтобы сдирать деньги с клиентов.
кибербезопастность? это когда звонишь с левого номера в тинько и говоришь я такой то такой то, давйте мне доступ в мой лк и они тебе его просто так дают?
да здесь через день статьи от клиентов @Тинькофф как их банк подставил. и у меня в том числе.
Комментарий недоступен
у них не отображается номер при входящем.
да и в целом путаница.
они мошенникам дали все мои доступы 2 раза, и не могли забличить сим карту 2 дня
а счет они в принципе не умеют блокировать
они мне скомпрометированные счета как то разблокирвоали сами по себе. я потом 3 часа потратил чтобы заблокировать.
они блокируют только карты, счета- нет ( но говорят что заблокировали)
а мошенники потом просто к этим счетам выпускают виртуалку за 30 секунд и все :))
Комментарий недоступен
Плата за "передовой, быстроразвивающийся" и за "молодой, дружный коллектив".
Про тинькофф и их кибербезопасную генерацию смс кодов https://habr.com/ru/post/462071/
Отправил заявку на проверку сайта. Посмотрим, что ответят!
-
Комментарий недоступен