Тысячи российских сайтов оказались легко уязвимы для мошенников, потому что их делали фрилансеры-новички, отучившиеся на онлайн-курсах. В итоге персональные данные оттуда может похитить даже школьник.
«База» рассказывает о масштабной ошибке российских предпринимателей, заказавших сайты «по дешёвке».
Бизнесмены в погоне за экономией заказывают разработку сайтов «под ключ» за 15–20 тысяч у частников вместо того, чтобы обратиться в надёжную компанию. Зачастую неопытные разработчики не заморачиваются с защитой сайта или банально не знают, как её сделать.
Чаще всего проблема возникает при добавлении функционала для приёма заявок от посетителей сайта. Чтобы форма автоматически приходила предпринимателю в какой-нибудь мессенджер, разработчик подключает сервис-бот. Для связи этого бота с сайтом нужен специальный ключ доступа — токен, через который, грубо говоря, проходят данные клиентов.
Профессиональные разработчики должны прятать этот токен на защищённом сервере. Но профаны оставляют его прямо в коде сайта: по сути на всеобщее обозрение. Это как установить на двери домофон и код от него написать прямо на подъезде — объясняет на простом примере директор крупной IT-компании Евгений Половинкин.
Эксперт рассказывает, что злоумышленники с помощью несложных инструментов легко сканируют сайты и находят эти токены. В итоге они могут отслеживать входящие заявки, собирать персональные данные пользователей, рассылать сообщения или даже перехватывать управление. По его словам, найти эту уязвимость может даже школьник, и на это уйдёт всего пять минут.
