Обнаруженная уязвимость в приложении ритейлера «Лента» позволяет управлять аккаунтами клиентов и определять их адрес по номеру телефона, утверждают специалисты по информационной безопасности. В самой «Ленте» такую возможность отрицают. Ритейлеры часто не имеют собственных квалифицированных команд по тестированию приложений, а в условиях пандемии безопасность отошла на второй план в погоне за цифровизацией, полагают эксперты опрошенные изданием «Коммерсантъ».
Уязвимость в мобильном приложении сети супермаркетов «Лента» позволяет получать доступ к аккаунтам пользователей и управлять ими, заявили в компании по информационной безопасности Postuf. По номеру телефона пользователя злоумышленники могут получить доступ к информации о клиентах из базы «Ленты», в том числе фамилии, имени, отчеству, дате рождения, телефону, email, адресу, на который пользователь заказывал доставку, номеру карты лояльности с баллами, сообщили в компании.
Эту информацию можно редактировать, а также распоряжаться баллами, например, перевести их другу, рассказал основатель Postuf Бекхан Гендаргеноевский. Он продемонстрировал работу описанного механизма, предоставив информацию из базы «Ленты» по номеру телефона корреспондента “Ъ”, а также поменяв пароль в его аккаунте.Вероятно, с помощью этой уязвимости методом подбора телефонных номеров была собрана база пользователей «Ленты», об утечке которой РБК сообщал в феврале 2020 года, полагает господин Гендаргеноевский.
В пресс-службе «Ленты» заявили, что информация об уязвимости не соответствует действительности.
Уязвимость опасна, поскольку данные могут использоваться для атак методами социальной инженерии, например телефонными мошенниками, полагают эксперты. С учетом того что приложение «Ленты» использует данные геолокации и хранит информацию об адресах клиентов, то при необходимости злоумышленник может получить информацию о месте жительства нужного ему человека. Кроме того, во многих крупных магазинах процедура списания бонусов упрощена, не требует дополнительных подтверждений по СМС и даже не сопровождается уведомлением вне приложения, отмечают они.
Если возможно получить доступ к профилям других пользователей по номеру телефона, то, применив несложную автоматику, за короткое время злоумышленники получат доступ к профилям всех пользователей. Внезапный переход на «удаленку» потребовал от ритейлеров оперативно цифровизироваться, но оперативность часто достигается за счет минимизации внимания к информационной безопасности.
Обычно, прежде чем приложение будет запущено в промышленную эксплуатацию, его тщательно проверяет команда специалистов по безопасности, что требует дополнительных ресурсов и времени. В условиях пандемии и связанных с ней ограничений выпустить приложение раньше конкурентов зачастую важнее, чем полностью его вычистить с точки зрения уязвимостей, полагает господин Коростелев. Например, уровень защищенности популярных приложений для фитнеса в среднем оценивается на два балла из пяти.
Часто ритейлеры не имеют собственных квалифицированных команд по разработке и тестированию приложений, а подрядчики не всегда могут создать качественный и безопасный продукт. По мнению экспертов, в подобных случаях нельзя исключать, что разработчики намеренно оставили лазейку, которая потом послужила «воротами» для хакеров.
