Количество уязвимостей в ритейле выросло на 28%

По итогам 1 квартала 2025 года эксперты компании «Нейроинформ» зафиксировали рост числа уязвимостей в сфере ритейла на 28% по сравнению с аналогичным периодом прошлого года. Исследование выявило наиболее распространенные типы угроз, представляющие наибольшую опасность для компаний.

Тройку лидеров составили: недостатки в контроле доступа к конфиденциальной информации (34%), отсутствие блокировки при многократных неудачных попытках авторизации в веб-приложениях (26%), а также недостаточная аутентификация API-вызовов (21%). Помимо этого, обнаружены случаи манипуляций с бизнес-логикой и несоблюдение передовых методов управления ИT-инфраструктурой.

Некорректное управление доступом к данным и ресурсам представляет собой критическую угрозу, способную поставить под удар всю систему. Специалисты «Нейроинформ» выявляли случаи публикации чувствительной информации, включая данные о внутренней сети, учетные записи и ключи доступа, в открытых источниках.

Уязвимость, связанная с перебором паролей, остается одной из самых актуальных. Злоумышленники используют автоматизированные инструменты для подбора учетных данных из-за слабых паролей пользователей и отсутствия многофакторной аутентификации. Эксплуатация этой уязвимости часто приводит к компрометации веб-сайтов и внутренних сетей.

Отсутствие аутентификации API-вызовов становится новой проблемой. Многие ритейлеры используют API без надлежащей защиты, что позволяет злоумышленникам получать доступ к данным и выполнять действия без авторизации, имея только токен доступа. Это может привести к утечкам персональных данных и серьезным финансовым последствиям.

Ранее член комитета Госдумы по информационной политике и координатор проекта «Цифровая Россия» Антон Немкин заявил, что злоумышленники активно эксплуатируют уязвимости в некорректно настроенных API для несанкционированного доступа к конфиденциальной информации онлайн-сервисов.