98% выдающихся стартапов в финансово-технологической сфере уязвимы к кибератакам

0

98% выдающихся стартапов в финансово-технологической сфере уязвимы к кибератакам

Компании испытывают трудности с обеспечением безопасности, приватностью и соответствием стандартам.


98 из 100 выдающихся и хорошо финансируемых стартапов в финансово-технологической сфере уязвимы к фишинговым web-атакам и атакам через уязвимости в мобильных приложениях. К такому выводу пришли специалисты компании ImmuniWeb по результатам анализа безопасности ста наиболее выдающихся финансово-технологических стартапов.

Для проведения исследования специалисты ImmuniWeb выбрали компании из отчета «The Fintech 250: The Top Fintech Startups Of 2018» своих коллег из CB Insights. Их целью было оценить общее состояние web-безопасности и безопасности приложений в компаниях финансово-технологической сферы по сравнению с традиционными банками.

Как показало исследование, все компании испытывают трудности с обеспечением безопасности, приватностью и соответствием стандартам, связанные с заброшенными или забытыми web-приложениями, API и поддоменами.

Восемь принадлежащих компаниям сайтов и 64 поддомена подвержены как минимум одной известной и эксплуатируемой уязвимости средней или высокой опасности. Наиболее распространенными проблемами являются XSS-уязвимости, раскрытие конфиденциальной информации и неправильные настройки конфигурации. Самой старой неисправленной уязвимостью является CVE-2012-6708 в версии jQuery 1.7.2, известная еще с 2012 года.

100% исследованных специалистами приложений содержат как минимум одну уязвимость средней опасности, а 97% – как минимум две. У 56% приложений имеются проблемы с неправильной конфигурацией REST/SOAP и API или SSL/TLS.

Сайты 62% компаний не соответствуют стандарту PCI DSS, а 64% не обеспечивают исполнение «Общего регламента по защите данных» (GDPR). В среднем каждый сайт содержит по крайней мере один сторонний компонент (JS-библиотеку, web-фреймворк и пр.). Наиболее устаревшей системой управления контентом является WordPress 4.7.1 с 26 известными в настоящее время уязвимостями.

Payment Card Industry Data Security Standard (PCI
DSS) – стандарт безопасности данных индустрии платежных
карт, разработанный Советом по стандартам безопасности индустрии платежных карт
(Payment Card Industry Security Standards Council, PCI SSC). Стандарт
представляет собой совокупность 12 детализированных требований по обеспечению
безопасности данных о держателях платежных карт.