WebTotem: polskie banki mają problemy z bezpieczeństwem w sieci

Raport "Ocena bezpieczeństwa teleinformatycznego banków w Polsce" analizuje strony internetowe 33 polskich banków.

WebTotem, firma zajmująca się bezpieczeństwem sieci, analizowała informacje, które są dostępne publicznie. Oznacza to, że WebTotem nie próbował fizycznie ingerować w strony i dane banków.

Wynik: żadna z przebadanych stron polskich banków nie jest w stu procentach szczelna.

Średni wynik badanego banku to 61 na 100 punktów, a żaden bank nie osiągnął w badaniu maksymalnego rezultatu. Najlepsze miały jedynie drobne uchybienia, ale każdy miał jakieś problemy z bezpieczeństwem - od nieaktualnych systemów CMS (zarządzania treścią na stronie) - które mogą mieć znane już cyberprzestępcom “dziury” (15 na 33 przebadane banki), po - w jednym przypadku - negatywną reputację domeny w wyszukiwarkach.

Inne istotne problemy to niska prędkość stron (21% domen badanych banków ma powolne strony - co czyni je podatnymi na ataki typu DDOS, gdzie hackerzy próbują przeciążyć daną stronę powodując jej wyłączenie), podatność na wycieki informacji (w 61% badanych banków maile pracowników znaleziono w zewnętrznych serwisach, nad którymi bank nie ma kontroli i hacker może uzyskać do nich dostęp), czy problemy z szyfrowaniem ruchu - 6 z badanych banków nie miało, lub miało nieprawidłowo skonfigurowane protokoły bezpieczeństwa SSL/TLS, co może sprawić, że haker jest w stanie przejąć dane wysyłane przez klienta do banku, lub przez bank do klienta.

- Badanie przeprowadzone przez WebTotem wskazało szereg słabych i podatnych na ataki punktów banków w Polsce, które mogą prowadzić do poważnych strat finansowych, a nawet do nieodwracalnej utraty reputacji, pomimo tego, że na pierwszy rzut oka wydają się nieistotne i trudne do wykorzystania przez hakerów - informuje firma we wnioskach z raportu. Przypomina też, że w 2017 roku doszło do bardzo poważnego ataku hakerów, którzy dostali się do wewnętrznych systemów 20 polskich banków i KNF. Na szczęście pieniądze klientów nie były zagrożone.

Metodyka badania

Celem badania było określenie potencjalnych wektorów ataku na strony, które mogą być wykorzystywane przez hakerów. Firma przeanalizowała 11 parametrów, w tym aktualność używanego systemu CMS, wydajność strony, reputację domeny oraz szyfrowanie ruchu. Zwrócono też uwagę na otwarte porty, nagłówki bezpieczeństwa html i bezpieczeństwa treści, możliwość wycieków danych czy bezpieczeństwo poczty elektronicznej. Specjaliści zbadali także zgodność ze standardem security.txt, oznaki penetracji strony przez hakerów oraz zgodność z wymaganiami rozporządzenia o RODO.

WebTotem nie ingerował w strony i dane banków, a tylko analizował informacje dostępne publicznie, czyli takie, które może zdobyć każdy użytkownik internetu, bez specjalnych narzędzi. Przy większości badanych punktów wystarczyło wysłać zapytania HTTP i DNS oraz przeanalizować odpowiedzi pochodzące od serwera.

Dobierając banki do badania przyjęto założenie, że serwery banków muszą fizycznie znajdować się na terenie Polski.

Cały raport znajduje się na stronie WebTotem - w wersji polskiej i angielskiej.

 
 
 
 
 

WebTotem został założony w 2017 r. w Kazachstanie przez ekipę etycznych hackerów, zwycięzców wielu konkursów hackerskich w Azji i w Europie. Obecnie w zespole pracuje 15 specjalistów od cyberbezpieczeństwa z Polski, Ukrainy, Estonii, Rosji i Kazachstanu , a główna siedziba firmy mieści się w Warszawie. Klientami WebTotem są zarówno duże instytucje finansowe (w tym Narodowy Bank Kazachstanu), jak i małe firmy. Zespół WebTotem był uczestnikiem programu akceleracyjnego Poland Prize by Huge Thing. Specjaliści firmy odkryli podatności 0-day m.in w aplikacji Viber i języku programowania PHP.

Komentarze

Prosimy o wypowiadanie się w komentarzach w sposób uprzejmy, z poszanowaniem innych uczestników dyskusji i ich odrębnych stanowisk. Komentując akceptujesz regulamin publikowania komentarzy.