Хакер #305. Многошаговые SQL-инъекции
Эксперты компании ImmuniWeb изучили безопасность 100 крупнейших международных аэропортов мира. В итоге всего три аэропорта продемонстрировали соответствие многочисленным требованиям исследователей, это амстердамский аэропорт Схипхол, аэропорт Хельсинки-Вантаа в Финляндии и международный аэропорт Дублина в Ирландии.
Проверки на безопасность включали тесты публичных сайтов, официальных мобильных приложений и поиск утечек конфиденциальных данных самих аэропортов или их пассажиров через облачные сервисы, публичные репозитории и даркнет. Так, эксперты ImmuniWeb проверяли:
- корректность реализация HTTPS;
- поддерживает ли почтовый сервер аэропорта SPF, DKIM и DMARC;
- обновлены ли CMS сайта до последних версий и не содержат ли уязвимых компонентов;
- сосуществуют ли системы стандартам PCI DSS, NIST и HIPAA;
- наличие WAF в системах аэропорта;
- корректность настройки cookie, header и так далее;
- наличие в мобильных приложениях компонентов, уязвимых для известных эксплоитов;
- опираются ли мобильные приложения на сторонние библиотеки и фреймворки;
- используют ли мобильные приложения базовые настройки безопасности и применяют ли небезопасные техники кодинга;
- были ли данные, связанные с аэропортом, доступны в публичных облачных сервисах хранения данных;
- были ли данные, связанные с аэропортом, доступны в публичных репозиториях;
- были ли данные, связанные с аэропортом, доступны в даркнете и на хакерских сайтах.
В итоге проверка показала, что 97% аэропортов имеют те или иные проблемы с кибербезопасностью. И больше всего недочетов было обнаружено на их сайтах.
Проблемы сайтов:
- 97% сайтов работают с устаревшим ПО;
- 24% сайтов содержат известные и уязвимости;
- 76% и 73% сайтов не соответствуют GDPR и PCI DSS;
- 24% сайтов не имеют SSL-шифрования или используют устаревший SSLv3;
- 55% сайтов защищены WAF.
Проблемы мобильных приложений:
- 100% мобильных приложений содержат как минимум 5 внешних фреймвоков;
- 100% мобильных приложений содержат как минимум 2 уязвимости;
- в среднем одно приложение содержит 15 различных privacy-проблем;
- 33,7% исходящего трафика мобильных приложений не имеют шифрования.
Утечки данных:
- данные 66% аэропортов можно найти в даркнете;
- у 87% аэропортов есть утечки данных в общедоступных репозиториях;
- 503 из 3184 утечек имеют критический или высокий риск, который потенциально может привести к взлому;
- 3% аэропортов работают с незащищенным публичным облаком с конфиденциальными данными.