Jak bezpečné jsou webové stránky bank? 97 % těch největších má zneužitelné zranitelnosti

Kyberbezpečnostní firma ImmuniWeb odhalila, že jen 3 webové stránky velkých světových bank jsou bezpečné; zbylé jsou potenciálně zranitelné vůči útokům.

Testovány byly banky z žebříčku S&P Global World, konkrétně tedy 100 největších světových bankovních institucí. Samostatně samozřejmě žádná česká banka testována nebyla, jejich mateřské pobočky či skupiny, jichž jsou součástí, však ano: Erste Group (Česká spořitelna), KBC Group (Česká obchodní banka), Sberbank Group (Sberbank CZ) a Société Générale (Komerční Banka).

Je však nutno podoknout, že přestože metodika testování je poměrně dobře popsána a týká se jak webů, tak bankovních aplikací, není jasné, o jaké přesně se jedná – tedy, zda jsou brány v úvahu i lokální jazykové, nebo přímo regionální verze webů; subdomény jsou sice okrajově zahrnuty, ale zdá se, že primární výzkum se týká hlavně primárním webových stránek institucí, tedy bank v ČR se zřejmě bezpečnostní průzkum nedotýká.

Obrázek: Jak bezpečné jsou webové stránky bank? 97 % těch největších má zneužitelné zranitelnosti

(Ne)bezpečné bankovnictví

Jediné 3 banky, které uspěly, jsou švýcarská Credit Suisse, dánská Danske Bank a švédská Handelsbanken; na jejich hlavních webových stránkách se neobjevila jediná zneužitelná chyba podle výzkumu firmy ImmuniWeb.

40 finančních organizací získalo hodnocení A, což je stále velmi dobré a jde o nesmírně drobné zranitelnosti. 20 obdrželo známku B a celých 31 známku C, což už jsou znatelné a vážné bezpečnostní zranitelnosti.

E-bankovnictví dopadlo lépe, stejně tak známky v SSL/TSL zabezpečení; a co se týče evropského GDPR, překvapivě prospělo pouhých 39 finančních institucí a celých 2 081 subdomén v tomto ohledu selhalo.

Obrázek: Jak bezpečné jsou webové stránky bank? 97 % těch největších má zneužitelné zranitelnosti

Podle ImmuniWebu je množství zjištěných zranitelností a nedostatků zarážející, obzvláště u aplikací mobilního bankovnictví: Všechny totiž obsahovaly alespoň jednu, byť drobnou zranitelnost, 92 % mělo zranitelnosti střední závažnosti a 20 % z nich alespoň jednu vysoce rizikovou zranitelnost. Testováno bylo 55 aplikací mobilního internetového bankovnictví.

Firma se zaměřila na také na phishingové kampaně, tedy částečně cílené sociální inženýrství zaměřené na zákazníky konkrétních bank (v češtině jsme kdysi měli krásné slovo „rhybaření“). Je zajímavé, že většina z nich mířila na zákazníky amerických bankovních institucí, nejčastěji Wells Fargo, Bank of America a JP Morgan Chase.

Zdroj: ImmuniWeb, S&P, ZDnet

Obrázek: Počítač poháněný fotosyntézou?
Počítač poháněný fotosyntézou?
Obrázek: Kurýři přijdou o práci: Uber Eats testuje autonomní roboty a auta bez řidičů
Kurýři přijdou o práci: Uber Eats testuje autonomní roboty a auta bez řidičů
Obrázek: Konec Lightningu? Apple údajně plánuje USB-C iPhony
Konec Lightningu? Apple údajně plánuje USB-C iPhony
Obrázek: Immersive View na Google Maps: Krásnější a přesnější města
Immersive View na Google Maps: Krásnější a přesnější města
Obrázek: Dost bylo vibrací a stresujících vyzvánění. Google zkouší stíny, pohyb i vítr
Dost bylo vibrací a stresujících vyzvánění. Google zkouší stíny, pohyb i vítr
Obrázek: Nový podvod útočí na české telefony s Androidem! Vydává se za zmeškanou hlasovou zprávu
Nový podvod útočí na české telefony s Androidem! Vydává se za zmeškanou hlasovou zprávu
Obrázek: 5 chyb, kterým se vyvarovat při nákupu chytrého telefonu
5 chyb, kterým se vyvarovat při nákupu chytrého telefonu
Obrázek: Prohlížeč v prohlížeči: Na promyšlený internetový útok naletí i zkušení IT experti
Prohlížeč v prohlížeči: Na promyšlený internetový útok naletí i zkušení IT experti