Компания Digital Security, специализирующаяся на анализе защищенности систем, сообщила итоги 2014 года своей исследовательской деятельности по поиску и анализу уязвимостей различной степени критичности в известных публичных сервисах.
В частности, за прошедший год были найдены проблемы безопасности на таких популярных Web-ресурсах, как Twitter, Ebay, PayPal, Yahoo, CloudFlare, AT&T, Badoo, а также Wamba, Coin, Eclipse, Guerrillamail, Digital Ocean, Medium.
В общей сложности была обнаружена 41 уязвимость. Большая часть из них — типовые Web-уязвимости (OWASP TOP 10), включая XSS, CSRF, SQL-инъекции. Потенциальные последствия от их эксплуатации могут быть разными. В определенных случаях их использование способно повлечь за собой захват полного контроля над аккаунтом атакованного клиента системы.
На данный момент все уязвимости исправлены, а сообщившим о них экспертам вынесены благодарности. В этой деятельности лучшие результаты в 2014 году показали исследователи Digital Security Ваагн Варданян (vah13), Сергей Белов (sergeybelove), Дмитрий Частухин (chipik) и Иван Юшкевич.
Основной сферой деятельности Digital Security является анализ защищенности ИС. В рамках различных исследований и работ эксперты компании систематически находят уязвимости в распространенном программном обеспечении (как, например, SAP, Oracle).
«Все в нашем мире развивается. Системы растут в размерах, усложняются. И вполне естественно, что это развитие влечет за собой появление уязвимостей, с помощью которых возможно негативно повлиять на систему или ее пользователей. Даже в том случае, если система прошла аудит защищенности, любое изменение в ней (смена дизайна, добавление функционала) может привести к появлению уязвимостей. И потому безопасностью надо заниматься постоянно, подходить к этому делу, как к некоему непрерывному процессу», — прокомментировал Алексей Тюрин, директор департамента аудита защищенности Digital Security.