25 из найденных уязвимостей были классифицированы как критически опасные.
Эксперты по кибербезопасности обнаружили более 400 уязвимостей в 13 популярных российских приложениях для аренды автомобилей и самокатов. Об этом сообщили представители компании Appsec Solutions, специализирующейся на автоматическом поиске подобных ошибок.
Согласно отчету, 25 из найденных уязвимостей были классифицированы как критически опасные. Это означает, что злоумышленники могли получить доступ к конфиденциальной информации пользователей, включая:
Фотографии паспортов и водительских прав, загружаемые для верификации;Данные банковских карт, привязанных для автоматической оплаты;Историю геолокации и передвижений клиентов.
Названия конкретных сервисов не раскрываются, но уточняется, что все проблемные приложения доступны в крупнейших магазинах: App Store, RuStore и Google Play.
Аналитики выделили несколько ключевых проблем:
Неправильное хранение данных: критичная информация иногда сохранялась в открытом виде без надлежащего шифрования;Отсутствие защиты от взломанных устройств: ряд приложений не имел функций, препятствующих их запуску на джейлбрейкнутых (Android) или взломанных (iOS) смартфонах, что облегчает задачу злоумышленникам;Ошибки в коде, позволяющие проводить атаки на серверы или клиентскую часть приложения.
Сервисы каршеринга и кикшеринга аккумулируют огромный массив персональных данных. Для каршеринга это документы, удостоверяющие личность и право на вождение, а для аренды самокатов — информация, которая используется для идентификации и штрафования нарушителей ПДД. Утечка таких данных может привести к мошенничеству, краже личных данных и шантажу.
Источник: hi-tech.mail.ru