Даже малозначительные web-приложения могут привести к утечке конфиденциальных данных

На сегодняшний день многие крупные компании значительно недооценивают риск использования уязвимых web-приложений в корпоративной среде. В большинстве случаев сотрудники службы информационной безопасности предприятий устраняют критические угрозы для наиболее важных программ. Однако любое ненадежное web-приложение может представлять опасность для корпоративных систем, отмечает эксперт Илья Колошенко в статье на портале Dark Reading.

В настоящее время наиболее легким способом осуществления APT-атаки является фишинговая рассылка. Как правило, сотрудники организаций без опаски переходят по ссылкам в электронных сообщениях на корпоративных web-сайтах. В результате злоумышленники могут получить доступ на систему компании без необходимости приобретения эксплоитов для уязвимостей в iOS или Adobe Flash.

В качестве примера опасности недооценки риска уязвимых web-приложений специалист привел атаку на небольшой швейцарский банк, осуществленную в прошлом году. Злоумышленники взломали одно из «малозначительных» приложений, похитили персональные данные и потребовали выкуп в размере 10 тыс. евро за неразглашение информации. Руководство финорганизации отказалось выполнить требование киберпреступников. В результате данные оказались опубликованными в Сети. Хотя большинство записей данных не принадлежали клиентам банка, инцидент все равно нанес ему значительный репутационный ущерб.

В другом случае злоумышленники перевели средства со счетов частной европейской клиники (название не разглашается) на подконтрольные им счета. Преступники смогли получить доступ к деньгам, изменив несколько номеров банковских счетов, содержащихся в запросе предложения (документированный запрос организации, заинтересованной в приобретении каких-либо товаров или услуг), созданный для новый сотрудников.

Как показывают данные примеры, даже не особо важное приложение может представлять риск для безопасности корпоративной системы. Эксперт рекомендует организациям проводить регулярные проверки своих web-сайтов и приложений, обращая особое внимание на защищенность программ с возможностью доступа извне.