ЦАРКА: Банковские приложения в Казахстане имеют недочеты по защите данных граждан

В Центре анализа и расследования кибер атак (ЦАРКА) опубликовали результаты результаты ежегодного анализа защищенности мобильных приложений банков второго уровня. Отмечается, что некоторые проблемы защиты данных пользователей банки по-прежнему не устранили, передает наш сайт со ссылкой на пресс-службу центра.

Эксперты ЦАРКА провели анализ мобильных приложений 11 ведущих банков Казахстана по 20 направлениям в 4 категориях на предмет обеспечения безопасности персональных данных. Экспертами выявлены уязвимости в банковских приложениях, часть из которых можно отметить, как высококритичные, требующие немедленного исправления.

К примеру, как отмечают в центре, больше половины исследуемых приложений хранит чувствительную информацию в приватном файле внутри директории приложения. В ЦАРКА пояснили, что очень часто ошибочно считается, что данные, которые хранятся во внутренней директории приложения, уже защищены, и злоумышленник до них не доберется. Однако, для этого существует большое количество способов, начиная от резервной копии устройства, заканчивая физическим доступом к устройству и эксплуатации различных уязвимостей. Таким образом, если возникают другие уязвимости, позволяющие получить доступ к файлам в песочнице приложения, это делает очень критичным хранение в них чувствительной информации, особенно если во внутренней директории хранятся аутентификационные или платежные данные пользователя. В таких случаях это может привести к полной утрате аккаунта или денежных средств клиента.

«В этом году мы немного сдвинули выход отчета, предваряя возможность обсудить эти уязвимости на наших панельных дискуссиях KazHackStan. С другой стороны, у банков было больше возможности исправить текущие недочеты, но мы видим, что в ряде случаев проблемы остаются, и это, к сожалению, традиционная история для РК. Внедрение на государственном уровне требований к подключению в платформу легального поиска уязвимостей (Bug Bounty) дало толчок роста к регулярным исследованиям безопасности. Однако, впереди большая работа не только в рамках практической безопасности, но в и контексте смены парадигмы мышления, прекращения «невыноса» сора, то есть информации об утечках и уязвимостях, из периметра организации», — сказал генеральный директор и основатель Tsarka Group Олжас Сатиев.