В 13 российских приложений для аренды автомобилей и самокатов обнаружено более 400 уязвимостей, которые создают риск утечки данных пользователей. Об этом сообщили эксперты по кибербезопасности компании Appsec Solutions, специализирующейся на автоматическом поиске подобных ошибок.
25 из найденных уязвимостей были классифицированы как критически опасные. Это означает, что злоумышленники могли получить доступ к конфиденциальной информации пользователей, в том числе фотографиям паспортов и водительских прав, данным банковских карт, привязанных для автоматической оплаты, историям геолокаций и передвижений.
Как выяснили аналитики, проблемы связаны с неправильным хранением данных, иногда в открытом виде без надлежащего шифрования; отсутствием защиты от взломанных устройств (нет функций, препятствующих запуску приложений на джейлбрейкнутых смартфонах); ошибками в коде, позволяющим проводить атаки на серверы или клиентскую часть приложения.
Эксперты напомнили, что утечка чувствительных данных может привести к мошенничеству, краже личных данных и шантажу.
Специалисты по безопасности посоветовали регулярно обновлять приложения до последней версии, по возможности использовать двухфакторную аутентификацию, сторониться публичных Wi-Fi сетей при использовании сервисов.
В Appsec Solutions не раскрыли названия конкретных сервисов, но отметили, что все они доступны в App Store, RuStore и Google Play. Эксперты уведомили все затронутые компании о найденных уязвимостях.
Между тем исследователь в области информационной безопасности рассказал, что сотни серверов TeslaMate, расположенные по всему миру, открыто передают данные автомобилей Tesla без какой-либо защиты. В итоге вся телеметрия оказывается в открытом доступе. Эти данные включают точные координаты и маршруты поездок, а также графики владельцев машин, их адреса и время подзарядок.
Источник: habr.com