Найдена уязвимость в банковской системе

Как сообщила компания «Информзащита», ее эксперты в ходе проекта по анализу защищенности системы дистанционного банковского обслуживания (ДБО) одного из 50 крупнейших банков России обнаружили уязвимость в ПО «ДБО BS-Client x64» (до версии 20.1.770 включительно). Информация об уязвимости была отправлена компании-разработчику, которая оперативно исправила ошибки и закрыла уязвимость продукта в версии 20.1.780.

Эксплуатация уязвимости, выявленной в ходе аудита, не требовала от злоумышленников высокой квалификации и могла выполняться удаленно. С помощью специально сформированного GET-запроса к определенной странице приложения уязвимость давала возможность получить доступ к части конфиденциальной информации клиентов, включающей названия организаций, номера счетов и остатки на них, платежные поручения, информацию о транзакциях и др. Также злоумышленники получали возможность доступа к информации об ошибках закрытых компонентов системы и отладочной информации.

Эксплуатация уязвимости, полагают эксперты «Информзащиты», могла бы дать злоумышленникам доступ к конфиденциальной финансовой информации, использовать которую можно различными путями – вплоть до шантажа и вымогательства. Банкам, использующим «ДБО BS-Client x64» версии 20.1.770 и ниже, рекомендуется принять меры для защиты своих ресурсов и обеспечения информационной безопасности, в частности, обновить устаревшую версию «ДБО BS-Client x64» до v. 20.1.780.