Эксперты “Нейроинформ” выявили топовые уязвимости в логистических компаниях по итогам 3 квартала 2024 года

Эксперты компании “Нейроинформ”, специализирующейся на анализе и оценке киберрисков, назвали уязвимости наиболее распространённые среди логистических компаний в 3 квартале 2024 года. По данным специалистов, в ТОП-3 уязвимостей вошли уязвимости IDOR, ошибки в алгоритмах использования СМС как второго фактора при авторизации, регистрации или восстановлении пароля, а также слабые требования к сложности паролей в ПО, которое используется для работы с партнерами или подрядчиками. Для анализа были использованы данные клиентов “Нейроинформ”.

 Уязвимости в специализированном ПО наблюдаются у логистических компаний чаще всего и составляют 38% от общего числа уязвимостей в этой сфере в 3 квартале 2024 года. Обычно компании пишут такое ПО самостоятельно, и в нём довольно часто присутствуют критические уязвимости. Одной из самых распространенных является IDOR, с помощью которой можно просматривать чужие заказы с персональными данными клиентов (ФИО, номер телефона, адрес доставки). В данном случае злоумышленники подбирают идентификатор заказа и видят всю информацию по нему без авторизации.

 Недостатки алгоритмов защиты в использовании СМС при регистрации, авторизации или восстановлении пароля также являются одной из самых массовых проблем логистических компаний и составляют 26% от общего числа всех уязвимостей отрасли в 3 квартале этого года. Такая уязвимость опасна тем, что приводит к ненужной трате средств компании на рассылку СМС. Киберпреступники с помощью скрипта вводят чужие номера телефонов, и система рассылает тысячи СМС, тратя деньги компании напрасно.

 Слабые требования к паролям в ПО, которое используется для работы с партнерами и подрядчиками, является еще одной распространенной уязвимостью в логистике. Она составляет 14% от общего числа уязвимостей логистической сферы в 3 квартале 2024 года. Эксперты “Нейроинформ” установили, что в 75% случаев в этих сервисах не было установлено защиты от перебора паролей, и можно было получить доступ ко всем заказам компаний, выгрузить список курьеров с номерами телефонов, марками и номерами машин, а также адресами доставок и список товаров в доставке.

 “К сожалению, хакеры довольно успешно используют различные уязвимости. Чтобы снизить уровень угрозы необходимо внедрять проверку кода на постоянной основе и проводить обучение программистов основам информационной безопасности на примере OWASP TOP 10. Также можно подумать об использовании компенсирующих мер в виде WAF. И конечно, проверять свою инфраструктуру на уязвимости минимум раз в год.” - отметил Александр Дмитриев, генеральный директор компании “Нейроинформ”.