Компания «Информзащита», ведущий системный интегратор в области информационной безопасности, сообщает о том, что эксперты компании в ходе проекта по анализу защищенности системы дистанционного банковского обслуживания (ДБО) одного из пятидесяти крупнейших банков России обнаружили уязвимость в программном обеспечении «ДБО BS-Client x64» (до версии 20.1.770 включительно).
Информация об уязвимости была отправлена компании-разработчику, который оперативно исправил ошибки и закрыл уязвимость продукта в версии 20.1.780. Эксперты компании «Информзащита» рекомендует всем организациям принять необходимые меры для защиты своих ресурсов, персональных данных клиентов и их вкладов.
Эксплуатация уязвимости, выявленной в ходе аудита «Информзащиты», не требовала от злоумышленников высокой квалификации и могла выполняться удаленно. С помощью специально сформированного GET-запроса к определенной странице приложения уязвимость давала атакующему возможность получить доступ к части конфиденциальной информации клиентов, включающей названия организаций, номера счетов, и остатки на них, платежные поручения, информацию о транзакциях и др. Также злоумышленники получали возможность доступа к информации об ошибках закрытых компонентов системы и отладочной информации.
«В случае успешной эксплуатации уязвимости злоумышленники могут получить доступ к конфиденциальной финансовой информации, использовать которую можно различными путями – вплоть до шантажа и вымогательства, — говорят эксперты отдела анализа защищенности «Информзащиты». — Для минимизации рисков необходимо в обязательном порядке установить обновление ПО».
«Мы постоянно работаем над повышением безопасности наших продуктов. Проводим регулярный аудит, оперативно закрываем уязвимости, укрепляем надежность наших решений, — отметил Директор по продажам Компании BSS Виталий Патешман. – Мы благодарны компании «Информзащита» за сотрудничество, которое даёт возможность повышать качество и уровень безопасности решений Компании BSS».
Компания «Информзащита» рекомендует банкам, использующим «ДБО BS-Client x64» версии 20.1.770 и ниже, принять меры для защиты своих ресурсов и обеспечения информационной безопасности, а именно — обновить устаревшую версию «ДБО BS-Client x64» до v. 20.1.780.
Подробнее с описанием уязвимости и рекомендациями от экспертов «Информзащиты» можно ознакомиться на сайте www.infosec.ru.
