Эксперты компании ImmuniWeb изучили безопасность 100 крупнейших международных аэропортов мира. В итоге всего три аэропорта продемонстрировали соответствие многочисленным требованиям исследователей, это амстердамский аэропорт Схипхол, аэропорт Хельсинки-Вантаа в Финляндии и международный аэропорт Дублина в Ирландии.

Проверки на безопасность включали тесты публичных сайтов, официальных мобильных приложений и поиск утечек конфиденциальных данных самих аэропортов или их пассажиров через облачные сервисы, публичные репозитории и даркнет. Так, эксперты ImmuniWeb проверяли:

  • корректность реализация HTTPS;
  • поддерживает ли почтовый сервер аэропорта SPF, DKIM и DMARC;
  • обновлены ли CMS сайта до последних версий и не содержат ли уязвимых компонентов;
  • сосуществуют ли системы стандартам PCI DSS, NIST и HIPAA;
  • наличие WAF в системах аэропорта;
  • корректность настройки cookie, header и так далее;
  • наличие в мобильных приложениях компонентов, уязвимых для известных эксплоитов;
  • опираются ли мобильные приложения на сторонние библиотеки и фреймворки;
  • используют ли мобильные приложения базовые настройки безопасности и применяют ли небезопасные техники кодинга;
  • были ли данные, связанные с аэропортом, доступны в публичных облачных сервисах хранения данных;
  • были ли данные, связанные с аэропортом, доступны в публичных репозиториях;
  • были ли данные, связанные с аэропортом, доступны в даркнете и на хакерских сайтах.

В итоге проверка показала, что 97% аэропортов имеют те или иные проблемы с кибербезопасностью. И больше всего недочетов было обнаружено на их сайтах.

Проблемы сайтов:

  • 97% сайтов работают с устаревшим ПО;
  • 24% сайтов содержат известные и уязвимости;
  • 76% и 73% сайтов не соответствуют GDPR и PCI DSS;
  • 24% сайтов не имеют SSL-шифрования или используют устаревший SSLv3;
  • 55% сайтов защищены WAF.

Проблемы мобильных приложений:

  • 100% мобильных приложений содержат как минимум 5 внешних фреймвоков;
  • 100% мобильных приложений содержат как минимум 2 уязвимости;
  • в среднем одно приложение содержит 15 различных privacy-проблем;
  • 33,7% исходящего трафика мобильных приложений не имеют шифрования.

Утечки данных:

  • данные 66% аэропортов можно найти в даркнете;
  • у 87% аэропортов есть утечки данных в общедоступных репозиториях;
  • 503 из 3184 утечек имеют критический или высокий риск, который потенциально может привести к взлому;
  • 3% аэропортов работают с незащищенным публичным облаком с конфиденциальными данными.

2 комментария

  1. Аватар

    Dzen_Margo

    05.02.2020 at 01:06

  2. Аватар

    Vitaly

    05.02.2020 at 09:44

    та ладна!… домодедово зачислили в топ 100 ???

Оставить мнение