Как заключенные штата Айдахо похитили почти четверть миллиона долларов у компании JPay, и как это можно было предотвратить.

Эксперты Axoft проанализировали инцидент с компанией JPay, у которой заключенные штата Айдахо похитили почти четверть миллиона долларов.

27 Июля 2018 года стало известно, что сотни заключенных штата Айдахо незаконно переводили деньги на свои счета с помощью планшета компании JPay.

JPay предоставляет заключенным возможность для общения с внешним миром: с помощью планшетов они могут воспользоваться услугами по переводу денег, электронной почтой, прослушивать музыку. Заключенные проэксплуатировали уязвимость в мобильных устройствах и увеличили баланс средств на своих счетах на суммы от одной до десяти тысяч долларов.

Эксперты технического консалтинга Axoft выяснили, почему данный инцидент стал возможен и рассказали, как можно было его предотвратить. По словам специалистов IT-дистрибутора, учитывая крайне ограниченные возможности заключенных, можно сделать вывод, что процесс эксплуатации уязвимости в планшетах JPay был очень простым. Это обстоятельство, в свою очередь, дает основание предполагать, что в компании-производителе процесс безопасной разработки ПО был плохо выстроен или даже полностью отсутствовал.

В данном случае ущерб был относительно небольшим, но сам случай очень показателен. Перефразировав закон Мерфи, можно сказать: «Если что-то может быть взломано, оно будет взломано».

Предотвратить подобный инцидент могло использование специальных инструментов для поиска уязвимостей в приложениях, например, решений компании Micro Focus — Fortify и WebInspect. Оба продукта могут быть встроены в процесс разработки и таким образом обеспечить непрерывный контроль на всех его этапах.

Fortify позволяет проводить статический анализ и тестирование безопасности приложений (SAST).

Преимущества решения:

  • обладает лучшей в отрасли поддержкой языков программирования;
  • позволяет находить больше проблем, сократить ложную позитивную статистику, получить более достоверную информацию и рекомендации по решению возникающих проблем;
  • интегрируемые технологии: IDE, инструменты для создания приложений, репозитории кода, системы отслеживания неполадок и отправки данных о них, а также масштабируемые API — делают работу над безопасностью приложений эффективной.

WebInspect — инструмент для тестирования на проникновение, осуществляет динамический анализ (DAST). Возможности продукта:

  • осуществляет бесперебойное сканирование современных сред разработки и веб-технологий;
  • полностью автоматизированное решение, помогающее реализовать принципы DevOps и решить проблему масштабируемости;
  • встроенные правила и функции составления отчетов в соответствии со всеми основными стандартами и нормами в сфере безопасности приложений;
  • управление рисками в сфере безопасности приложений и создание отчетов для устранения уязвимостей и осуществления управленческого надзора;
  • оптимизация результатов сканирования с помощью технологий, использующих программы-агенты.

Остались вопросы относительно защиты от кибератак? Свяжитесь с экспертами Axoft: https://axoft.ru/feedback/

23.08.2018 10:05:52

Хотите быть в курсе последних событий?