Едва три от водещите световни банки получават резултат A+ за SSL криптиране и сигурност на уебсайтовете си от компанията ImmuniWeb, която изследва сигурността на приложенията, защитата на неприкосновеността на личния живот и регулаторните съответствия, съобщи ZDNet.
Швейцарската Credit Suisse, датската Danske Bank и шведската Handelsbanken преминават тестовете с оценка А+, без да покажат нито един проблем или неправилно конфигуриране на основните си уебсайтове. Пет от най-големите финансови институции в света се провалят, поради открити „публично известни уязвимости, които могат да бъдат използвани”.
40 финансови организации получават оценка А, което означава, че са намерени „миниатюрни” проблеми или сигурността им е недостатъчно обезпечена; 20 от банките излизат от тестовете с оценка В, която свидетелства за няколко незначителни проблема или недостатъчна защита; докато С получават 31 банки, чиито уебсайтовете съдържат уязвимости в сигурността или няколко сериозни неправилни конфигурации.
По отношение на електронното банкиране, 15 финансови институции получават оценка A+, 27 имат A, докато В е дадена на 13, С – на 40, а F имат 7 – в тях са открити уязвимости, които могат да бъдат използвани и публично известни.
Степента на SSL/TLS криптирането на основните уебсайтове се повишава, но също така са налице и по-голям брой провали. А+ получават 25 финансови институции, А взимат 54, оценка В е присъдена на 7, а само една банка е оценена с С. 13 банки се провалят в тестовете, поради липса на криптиране и/или SSLv3 или открити уязвимости, които могат да бъдат използвани.
Степените на SSL/TLS криптиране на сигурността на уеб приложенията за електронно банкиране са много по-добри, като 29 от банките получават най-висок резултат и само две се провалят.
Само 39 финансови институции преминават теста за съответствие с GDPR на основния си уебсайт, а общо 2081 поддомейна се провалят. 17 уебсайта за електронно банкиране преминават този тест.
Данните на ImmuniWeb сочат, че средно всеки уебсайт съдържа два различни уеб софтуерни компонента, JS библиотеки, рамки или друг код на трета страна. До 29 уебсайта съдържат поне една публично оповестена и незатворена уязвимост в сигурността, класифицирана със среден или с висок риск.
Най-старата незатворена уязвимост, открита по време на проучването, е CVE-2011-4969, която влияе на jQuery 1.6.1 и е известна от 2011 г. ImmuniWeb твърди, че най-популярните уязвимости в банковите сайтове са XSS, експозиция на чувствителни данни и неправилно конфигуриране на защитата.
По отношение на поддомейните, ситуацията с остарелите компоненти е още по-тревожна: 81% от поддомейните съдържат външен софтуер с остарели компоненти, а 2% имат публично оповестена и използваема уязвимост от среден или висок риск, сочи анализът.
ImmuniWeb установява още, че 100% от изследваните банки имат уязвимости или проблеми, свързани със забравени поддомейни. Компанията алармира и за 29 активни фишинг кампании, като повечето от злонамерените уебсайтове са хоствани в САЩ и атакуват клиенти на Wells Fargo, Bank of America и JP Morgan Chase.
Проучването обхваща и приложенията за мобилно банкиране. ImmuniWeb отчита, че 55 банки разрешават достъп до чувствителни данни. 100% от приложенията за мобилно банкиране съдържат поне една уязвимост на сигурността с нисък риск, 92% имат поне една уязвимост със среден риск, а 20% съдържат поне една уязвимост с висок риск.
Изследователската компания настоява финансовите институции бързо да преразгледат и подобрят съществуващите си подходи към сигурността на приложенията.
точно пък Danske Bank имаше сериозен проблем относно нет банкирането преди година или 2 непомня точно, така че звучи ми че банките са си платили за тази статия…
Ползвател съм на електронните услуги на две банки в БГ и една виртуална от UK.
TechNews, се ще радвам да представите такова изследване на онлайн сигурността и за банките в България.