Массовая уязвимость: почему тысячи российских сайтов оказались под угрозой?

В погоне за экономией российские предприниматели все чаще заказывают создание сайтов у фрилансеров-новичков, прошедших краткосрочные онлайн-курсы. Как выяснила «База», такой подход обернулся масштабной проблемой: персональные данные клиентов на тысячах ресурсов защищены настолько слабо, что их может похитить даже школьник.

Бизнесмены, желая сэкономить, обращаются к частным разработчикам, предлагающим сайты «под ключ» за 15–20 тысяч рублей. Профессиональные студии, гарантирующие безопасность, в этой гонке за «халявой» остаются не у дел. В результате неопытные исполнители либо не уделяют внимания защите, либо просто не знают, как ее реализовать.

Особенно часто уязвимость возникает при настройке форм обратной связи. Чтобы заявки автоматически попадали предпринимателю в мессенджер, используется сервис-бот. Для его интеграции с сайтом создается специальный ключ доступа – токен. Именно через него проходят все данные клиентов.

Профессиональные разработчики хранят токен на защищенном сервере, вне досягаемости посторонних. Новички же оставляют его прямо в открытом коде сайта.

«Это все равно что установить на двери домофон и написать код от него прямо на подъезде», – цитирует «База» директора крупной IT-компании Евгения Половинкина.

Злоумышленники с помощью простейших инструментов сканируют сайты, находят эти токены и получают полный доступ. Они могут отслеживать входящие заявки, собирать персональные данные пользователей, рассылать сообщения от имени компании или даже перехватывать управление ресурсом. По словам эксперта, найти такую «дыру» в безопасности можно всего за пять минут, и с этой задачей справится даже подросток.