Критические уязвимости нашли в большинстве приложений российских банков
. Через них мошенники могут похитить деньгиAppSec Solutions: две трети банковских приложений имеют критические уязвимости
Две трети российских банковских приложений имеют уязвимости. Около трети из них могут привести к утечкам данных, сообщает «РИА Новости» со ссылкой на заявление компании AppSec Solutions.
В феврале 2025 года глава Банка России Эльвира Набиуллина заявила, что до конца первого квартала 2025 года все банки должны будут устранить проблему хищений денег со счетов из-за слабой защищенности их приложений.
По ее словам, приложения некоторых кредитных организаций надежно защищены от вирусов, которые позволяют совершать хищения со счетов, «но у других банков такой защиты нет». В компании AppSec Solutions подтвердили слова Набиуллиной. Специалисты провели анализ 95 финансовых приложений и выяснили, что уязвимости содержат две трети из них. Более 30% уязвимостей имеют характер высокого и критического уровня.
«Всего специалисты нашли 1583 уязвимости, из них больше трети — 569 — критического и высокого. В прошлом году в приложениях банков было найдено около 4,5 тыс. уязвимостей, однако только 183 из них были действительно опасными», — пояснили авторы исследования.
Одна из часто встречающихся уязвимостей — хранение секретов для доступа к сторонним сервисам в открытом виде. Также к распространенным ошибкам относятся хранение чувствительной информации в приватных файлах, попадание текста из пользовательского ввода в файлы приложения. При этом в приложениях крупнейших банков практически не было найдено уязвимостей.
В 2024 году мошенники украли у россиян с банковских счетов рекордные 27,5 млрд руб. Основной объем денежных средств — 26,9 млрд руб. — был украден со счетов физических лиц. У юридических лиц было украдено всего лишь 667 млн руб. Показатель 2024 года превышает объем похищенных средств в 2023 году на 74,4% — тогда мошенники украли 15,8 млрд руб. Однако число мошеннических переводов увеличилось не так сильно — только на 2,7%, до 1,2 млн операций.
При этом доля объема мошеннических операций в общем объеме операций по переводу денежных средств в 2024 году составила 0,00066%, в прошлом году она была выше — 0,00119%. Также резкий рост количества похищенных средств объясняется изменением методологии: с середины 2024 года банки начали отчитываться о мошеннических операциях по обновленной форме, и если раньше они учитывали мошеннические операции на основании трех признаков, то теперь — на основании шести.
Ранее Эльвира Набиуллина сообщила, что Банк России обсуждает ограничение количества карт на одного человека. «Нормальному человеку не нужно 100 карт в разных банках. Поэтому можно установить лимит. Допустим, в одном банке — карты бывают разные — до пяти, а в нескольких — до 20. На наш взгляд, это никак не ограничит права добросовестных людей, то есть все их потребности будут учтены, но предотвратит этот массовый, веерный выпуск», — заявила Набиуллина.
