Почти у каждой третьей финтех-компании есть критическая уязвимость

4 часа назад

© Изображение сгенерировано ИИ

По результатам пентестов, почти 30% финтех-компаний, банков и ритейлеров имеют критические уязвимости, сообщает ComNews. При этом за 14 лет ни один участник тестов на проникновение не прошёл проверку без замечаний.

Об этом на конференции «Финтех в безопасности 2026» рассказал коммерческий директор «Комплаинс Контрол» Аркадий Прокудин. Более 1,3 тыс. тестов на проникновение среди компаний финансового, банковского сектора, ритейла и маркетплейсов выявили уязвимости низкого уровня (более 52%) и высокого/критического уровня (29,3%).

Типовые уязвимости: слабые пароли, утечки данных и ошибки конфигурации

Уязвимости носят типовой характер. В числе самых частых проблем банков и финтеха — использование компонентов с известными уязвимостями и некорректные настройки безопасности. Финтех-компании и маркетплейсы также сталкиваются с проблемами контроля доступа. Среди уязвимостей банков — хранение учётных данных в открытом виде, несанкционированные места хранения данных карт и NTLM-атаки. У финтех-компаний — слабые пароли, стандартные учётные данные и ошибки конфигурации. У ритейла и маркетплейсов — утечки данных, проблемы с аутентификацией и управлением сессиями, уязвимости бонусных систем.

Новые риски: криптовалюты и атаки на цепочки поставок

Директор по развитию Web3 Tech Кирилл Антонов отметил, что финтех остаётся одной из наиболее атакуемых отраслей, но вскоре индустрию ждёт пересмотр подходов к кибербезопасности. В июле 2026 года может вступить в силу закон о цифровой валюте, который легализует криптооперации. Это привлечёт новых игроков и увеличит объёмы транзакций, а вместе с ними — и количество целенаправленных атак мошенников. Злоумышленники всё чаще пытаются получить доступ к закрытым ключам, кошелькам, админ-панелям, системам обновления и подрядчикам. В 2025 году основные потери пришлись на проблемы инфраструктуры и атаки на цепочки поставок.

Прикладные угрозы: уязвимости бизнес-логики в приложениях

Руководитель центра пентестов Innostage Александр Колесов подчеркнул, что уязвимости и атаки необходимо разделять на инфраструктурные и прикладные. По его словам, большая часть проблем в приложениях связана с бизнес-логикой: это доступ к чужим данным в обход защиты (IDOR, broken access control), ошибки округления операций, отмена транзакций в обход процесса оплаты или перевода. «Для подобных систем часто выявляются уязвимости — получение доступа к чужим данным в обход средств защиты информации (это различные IDOR'ы и broken access control и т.д.). Это ошибки, связанные с логикой работы — например, округление операций или отмена транзакции в обход логики или процесса оплаты/перевода/транзакции. Это специфичные уязвимости/атаки именно на приложения финтеха и в целом связанные с финансами», — заключил Александр Колесов.

Ранее RUБЕЖ писал, что Банк России выпустил рекомендации по безопасности ИИ, указав на риски атак на нейросети и уязвимости алгоритмов в финансовой сфере.