Выявлены топ-уязвимости логистики

По данным специалистов компании «Нейроинформ»‎, занимающейся анализом и оценкой киберрисков, в 3 квартале 2024 года были выявлены наиболее распространенные уязвимости в логистических компаниях. В тройку лидеров вошли уязвимости IDOR, ошибки в использовании СМС как второго фактора при авторизации и регистрации, а также слабые требования к сложности паролей в программном обеспечении, используемом для работы с партнерами и подрядчиками.

По итогам анализа, уязвимости в специализированном программном обеспечении составили 38% от общего числа уязвимостей в логистике за третий квартал. Чаще всего компании разрабатывают такое ПО самостоятельно, что приводит к появлению критических уязвимостей. Среди них выделяется уязвимость IDOR, позволяющая злоумышленникам просматривать заказы других клиентов с их персональными данными без авторизации.

Ошибки в алгоритмах защиты, связанные с использованием СМС при регистрации, авторизации и восстановлении паролей, составили 26% уязвимостей. Данная проблема приводит к ненужным расходам компании на распространение СМС, поскольку злоумышленники могут вводить чужие номера телефонов и создавать массовые рассылки.

Кроме того, слабые требования к паролям в ПО для работы с партнерами и подрядчиками составляют 14% всех уязвимостей в логистическом секторе. Эксперты отметили, что в 75% случаев отсутствие защиты от перебора паролей позволяет получить доступ к заказам, контактной информации курьеров и другим важным данным.

Александр Дмитриев, генеральный директор «‎Нейроинформ»‎, подчеркнул, что хакеры успешно эксплуатируют такие уязвимости и рекомендовал компаниям внедрять регулярную проверку кода, обучать программистов основам информационной безопасности и проводить тестирование инфраструктуры на уязвимости не реже одного раза в год.

Ранее специалисты Cisco Talos обнаружили восемь уязвимостей в нескольких приложениях Microsoft для macOS. По словам исследователей, проблема коснулась Teams, Outlook, Word, Excel, PowerPoint и OneNote. Найденные уязвимости позволяют злоумышленникам получить доступ к микрофону, камере, содержимому папок, записям экрана и т.д.