«Данные может похитить даже школьник»: тысячи российских сайтов оставили без защиты фрилансеры-новички

Тысячи российских сайтов оказались беззащитны перед мошенниками из-за того, что их создавали фрилансеры после краткосрочных онлайн-курсов, выяснила «База».

В итоге персональные данные клиентов оттуда способен похитить даже ребёнок. Корень проблемы в погоне предпринимателей за дешевизной: бизнес заказывает сайты «под ключ» за символические суммы у частников вместо профильных компаний.

Такие горе-разработчики попросту пренебрегают защитой или не умеют её выстраивать. Чаще всего уязвимость кроется в формах обратной связи.

Чтобы заявки посетителей автоматически уходили заказчику в мессенджер, исполнитель подключает сервисного бота. Для их стыковки нужен токен — секретный ключ доступа, сквозь который идут данные.

Специалист обязан спрятать этот ключ на сервере, но новички по незнанию оставляют его прямо в открытом коде сайта. Директор IT-компании Евгений Половинкин сравнил это с домофоном, код от которого написали прямо на двери подъезда.

Эксперт пояснил, что злоумышленники простейшими сканерами находят эти токены за пять минут, получая возможность читать заявки, воровать личную информацию и даже перехватывать управление ресурсом.

Ранее в управлении МВД по борьбе с противоправным использованием ИТ предупредили о новой схеме мошенников, которые создают фальшивые сайты под видом официальных ресурсов Следственного комитета РФ и рассылают ссылки в чатах, где общаются жертвы обмана.

Подробнее об этом читайте в материале Общественной службе новостей.