Пороховая точка: каждый третий сервис бронирования туров и отелей содержит бреши
Самые популярные мобильные приложения для бронирования отелей, туров и транспорта содержат серьезные уязвимости. Наибольший риск для туристов представляют бреши, позволяющие злоумышленникам получить доступ к персональным данным, сообщается в свежем исследовании AppSec Solutions. Туристы сталкиваются с частыми фишинговыми угрозами. Такие схемы обычно направлены на хищение денег и конфиденциальных данных пользователей. В ряде сервисов считают, что доказательств достоверности этого исследования нет, многие сомневаются в качестве методологии выводов. Однако некоторые сторонние ИБ-эксперты опасения подтверждают. Подробности — в материале «Известий».
Небронированная бронь
Абсолютно все популярные мобильные приложения для бронирования гостиниц и туров, которые россияне загружают с различных площадок, содержат уязвимости, рассказали«Известиям» в AppSec Solutions. Новое исследование охватило приложения из топ-100 самых скачиваемых.
В общей сложности аналитики обнаружили 1336 уязвимостей разного уровня серьезности. Из них 381 подходит под категорию «высокая степень риска», то есть может привести к утечкам чувствительных данных и навредить пользователям или компании-владельцу.
Распространенной проблемой среди приложений для путешествий стало некорректное хранение валидных токенов от других сервисов, что может теоретически открыть злоумышленнику доступ к данным с помощью стороннего сервиса. Таких токенов в приложениях для путешествий было найдено более ста. Одна из уязвимостей с высокой степенью риска — формирование Intent (задачи), то есть объекта, который служит для связи между компонентами мобильного приложения. Данные из сторонних источников могут привести к формированию Intent со вредными элементами, и сделать работу приложения непредсказуемой.
— Кроме технических атак, туристы сталкиваются с частыми фишинговыми угрозами, например — рассылками мошеннических приглашений на поддельные сайты бронирования, — говорит директор по продукту «Стингрей» компании AppSec Solutions Юрий Шабалин. — Отличить такие ресурсы от настоящих можно лишь по незначительным деталям, таким, как доменное имя или сертификат безопасности. Подобные схемы обычно направлены на хищение денег и конфиденциальных данных пользователей.
Интересно, что в недавних выводах исследования Центра цифровой экспертизы «Роскачества» о безопасности приложений для бронирования отелей утверждалось, что проанализированные сервисы отвечают соответствующим критериям и показали хороший результат при тестированиях. Подчеркивалось, что разработчики ответственно подходят к вопросу сохранности персональных и платежных данных пользователей. При этом любопытно, что в рамках исследования не удалось выявить ни одной критической уязвимости, которая замедляла бы приложения или серьезно сказывалась бы на их работе.
Целый ряд крупных сервисов и агрегаторов не захотели обсуждать данные исследования крупнейшего вендора России. В Роскомнадзоре (РКН) «Известиям» рассказали, что с приближением сезона отпусков действительно участились случаи мошенничества в сфере туризма. Злоумышленники создают поддельные сайты бронирования, копирующие популярные сервисы. Они выглядят почти идентично оригиналам, но отличаются одной буквой в названии или мелкими деталями в дизайне. Попав на такой сайт, человек вводит данные карты, но бронирование не происходит, а деньги уходят мошенникам.
— Еще одна схема — поддельные уведомления о возврате средств, — говорят в пресс-службе РКН. — Туристу приходит сообщение якобы от туроператора с просьбой ввести реквизиты карты для возврата. Введя данные, человек передает их злоумышленникам. Чтобы не стать жертвой таких схем, проверяйте адрес сайта перед оплатой, не переходите по подозрительным ссылкам, выбирайте проверенные сервисы и избегайте требований о 100-процентной предоплате. А если вам предлагают ввести CVV-код для возврата средств — это явный признак мошенничества.
Какие уязвимости наиболее опасны
Как объяснил председатель компании РАД КОП, эксперт Ассоциации АБИСС Рустам Гусейнов, сейчас в приложениях существует большое количество уязвимостей, но в контексте гостиничного сектора критичными могут оказаться те, что связаны с недостаточным контролем прав доступа к пользовательским данным.
— В результате злоумышленники могут покупать или бронировать отели от имени другого человека, красть его персональные промокоды на скидки, тратить накопленные бонусы и прочее, — указывает Рустам Гусейнов. — Тут же есть потенциал утечек персональных данных за счет подмены идентификатора в запросах (IDOR), которые впоследствии могут использоваться для реализации атак методами социальной инженерии. Про «вечную классику» с возможностью внедрения скриптов на веб-ресурсы сервисов типа xss и т.п. я не говорю.
Пользователям стоит следить за тем, какие конкретно приложения скачиваются из сервисов, рассказал «Известиям» директор по информационной безопасности «Девелоники» (ГК Softline) Максим Чащин. Сейчас, по его словам, есть много сайтов и приложений-клонов, внутри которых есть достаточно уязвимостей, либо же они изначально созданы для кражи данных и считывания информации с устройства. При проведении аудита IT-ландшафта и систем сразу видны слабые места: ошибки шифрования, устаревшее ПО, уязвимости типа SQL-инъекций, отмечает эксперт.
— Говорить о какой-то приватности при использовании современных устройств вряд ли возможно — аналитические трекеры собирают информацию о передвижениях пользователя, его покупках, поисковых запросах и прочем, — говорит руководитель отдела защиты информации InfoWatch ARMA Роман Сафиуллин. — Трекеры в туристических приложениях никак глобально не отличаются от аналогичных трекеров во множестве других приложений — они тоже собирают информацию о поведении пользователя для составления его «цифрового портрета» и последующего предложения ему более подходящих товаров и услуг через таргетированную рекламу.
Максим Чащин призывает не забывать об осторожности. Всегда стоит применять многофакторную аутентификацию и быть осмотрительным при использовании незащищенных сетей Wi-Fi, особенно в аэропортах, фудкортах, парках и транспорте. Нужно обязательно проверять, есть ли тот или иной гостиничный сервис в других источниках: на картах и на других ресурсах. Также не стоит принимать все согласия сразу, внимательно читайте уведомления, не сохраняйте и не запоминайте данные карты внутри ненадежных сервисов. Стоит завести специальные виртуальные карты под конкретные поездки с небольшими суммами, не более 10–20 тыс. рублей. Лучше потратьте время и занесите их вручную и единоразово.
