В компании по информационной безопасности Postuf пришли к выводу, что приложение торговой сети "Лента" уязвимо: оно оставляет хакерам возможность по номеру телефона пользователя получить доступ данным клиентов из базы ритейлера – фамилии, имени, отчеству, дате рождения, телефону, номеру карты лояльности, электронному адресу и адресу, на который пользователь заказывал доставку. Более, того, злоумышленники смогут редактировать эту информацию.
По мнению основателя Postuf Бекхана Гендаргеноевского, именно с помощью этой уязвимости, скорее всего, была собрана база данных клиентов "Ленты", которая утекла в Сеть в начале прошлого года. Руководитель наглядно продемонстрировать корреспонденту "Ъ" описанный механизм, поменяв пароль в аккаунте журналиста, зная лишь номер его телефона.
При этом в самой "Ленте" наличие уязвимости категорически отрицают.
Другие эксперты согласны с тем, что обнаруженная уязвимость опасна. Она может быть использована телефонными мошенниками, с ее помощью можно похитить бонусы с карты лояльности.
Кроме того, "Лента" использует данные геолокации и хранит информацию об адресах клиентов, а значит, при желании можно выяснить и место жительства конкретного человека.
Специалисты считают, что с помощью несложных действий можно довольно быстро получить доступ к профилям всех пользователей приложения.
Руководитель отдела продвижения продуктов компании "Код безопасности" Павел Коростелев указывает, что на фоне пандемии у ритейлеров резко усилилась необходимость оперативно внедрять цифровизацию, и предпочтение отдавалось скорости в ущерб безопасности.
Многие компании, не имея собственных квалифицированных разработчиков, обращались к подрядчикам, в чьей компетенции тоже не всегда можно быть уверенным.
По мнению руководителя направления аналитики и спецпроектов ГК InfoWatch Андрея Арсентьева, кто-то из разработчиков мог намеренно оставить уязвимость для дальнейшей деятельности хакеров.
 |
Pavel А.
старший менеджер, Торговля (Красота и здоровье, крупная компания) |
