Strony polskich banków są generalnie bezpieczne

WebTotem – polska firma zajmująca się bezpieczeństwem systemów IT- zbadała strony należące do 33 polskich banków i sprawdziła, czy są należycie chronione przed hakerami. Okazało się, że są średnio zabezpieczone i chociaż generalnie nie stwarzają zagrożenia, to wszystkie mają z tym pewne, chociaż w większości przypadków niewielkie, problemy.

Bankowość

Celem badania było określenie potencjalnych wektorów ataku na strony, które mogą być wykorzystywane przez hakerów. Firma przeanalizowała 11 parametrów, między innymi takich jak aktualność używanego systemu CMS, wydajność strony, reputację domeny czy szyfrowanie ruchu.

Zwrócono też uwagę na otwarte porty, nagłówki bezpieczeństwa html i bezpieczeństwa treści, możliwość wycieków danych czy bezpieczeństwo poczty elektronicznej. Specjaliści zbadali także zgodność ze standardem security.txt, oznaki penetracji strony przez hakerów oraz zgodność z wymaganiami rozporządzenia o RODO.

Zobacz również:

WebTotem nie ingerował w strony i dane banków, a tylko analizował informacje dostępne publicznie, czyli takie, które może zdobyć każdy użytkownik internetu, bez specjalnych narzędzi. Przy większości badanych punktów wystarczyło wysłać zapytania HTTP i DNS oraz przeanalizować odpowiedzi pochodzące od serwera.

Okazała się, że żadna przebadana strona nie jest w stu procentach szczelna.

Średni wynik badanego banku to 61 na 100 punktów, a żaden bank nie osiągnął w badaniu maksymalnego wyniku. Te najlepsze miały jedynie drobne uchybienia, ale każdy miał jakieś problemy z bezpieczeństwem - od nieaktualnych systemów CMS (zarządzania treścią na stronie) - które mogą mieć znane już cyberprzestępcom “dziury” (15 na 33 przebadane banki), po - w jednym przypadku - negatywną reputację domeny w wyszukiwarkach.

Inne istotne problemy to niska prędkość stron (21% domen badanych banków ma powolne strony - co czyni je podatnymi na ataki typu DDOS, gdzie hakerzy próbują przeciążyć daną stronę powodując jej wyłączenie), podatność na wycieki informacji (w 61% badanych banków maile pracowników znaleziono w zewnętrznych serwisach, nad którymi bank nie ma kontroli i hacker może uzyskać do nich dostęp), czy problemy z szyfrowaniem ruchu - 6 z badanych banków nie miało, lub miało nieprawidłowo skonfigurowane protokoły bezpieczeństwa SSL/TLS, co może sprawić, że haker jest w stanie przejąć dane wysyłane przez klienta do banku, lub przez bank do klienta.

Pełny raport tego badania znajduje się tutaj.


TOP 200