Уязвимость в приложении ритейлера «Лента» позволяет управлять аккаунтами клиентов и определять их адрес по номеру телефона, утверждают специалисты по информационной безопасности. В самой «Ленте» такую возможность отрицают. Ритейлеры часто не имеют собственных квалифицированных команд по тестированию приложений, а в условиях пандемии безопасность отошла на второй план в погоне за цифровизацией, полагают эксперты.
Уязвимость в мобильном приложении сети супермаркетов «Лента» позволяет получать доступ к аккаунтам пользователей и управлять ими, заявили “Ъ” в компании по информационной безопасности Postuf. По номеру телефона пользователя злоумышленники могут получить доступ к информации о клиентах из базы «Ленты», в том числе фамилии, имени, отчеству, дате рождения, телефону, email, адресу, на который пользователь заказывал доставку, номеру карты лояльности с баллами, сообщили в компании.
Эту информацию можно редактировать, а также распоряжаться баллами, например, перевести их другу, рассказал основатель Postuf Бекхан Гендаргеноевский. Он продемонстрировал работу описанного механизма, предоставив информацию из базы «Ленты» по номеру телефона корреспондента “Ъ”, а также поменяв пароль в его аккаунте. Вероятно, с помощью этой уязвимости методом подбора телефонных номеров была собрана база пользователей «Ленты», об утечке которой РБК сообщал в феврале 2020 года, полагает господин Гендаргеноевский.
В пресс-службе «Ленты» заявили “Ъ”, что информация об уязвимости не соответствует действительности.
Читайте также:
Уязвимость опасна, поскольку данные могут использоваться для атак методами социальной инженерии, например телефонными мошенниками, полагает руководитель исследовательской группы отдела аналитики информационной безопасности Positive Technologies Екатерина Килюшева. С учетом того что приложение «Ленты» использует данные геолокации и хранит информацию об адресах клиентов, то при необходимости злоумышленник может получить информацию о месте жительства нужного ему человека, полагает руководитель направлений управления информбезопасности Softline Илья Тихонов. Кроме того, во многих крупных магазинах процедура списания бонусов упрощена, не требует дополнительных подтверждений по СМС и даже не сопровождается уведомлением вне приложения, отмечает он.
Внезапный переход на «удаленку» потребовал от ритейлеров оперативно цифровизироваться, но оперативность часто достигается за счет минимизации внимания к информационной безопасности, рассуждает руководитель отдела продвижения продуктов компании «Код безопасности» Павел Коростелев. Обычно, прежде чем приложение будет запущено в промышленную эксплуатацию, его тщательно проверяет команда специалистов по безопасности, что требует дополнительных ресурсов и времени. В условиях пандемии и связанных с ней ограничений выпустить приложение раньше конкурентов зачастую важнее, чем полностью его вычистить с точки зрения уязвимостей, полагает господин Коростелев.
Юлия Степанова, Юлия Тишина