Сайты мобильных операторов связи в ЕС не защищают должным образом данные пользователей

[Artifact]

Ни на одном из сайтов 13 крупных компаний мобильной связи в ЕС нет даже минимально необходимых средств защиты.

Конфиденциальные данные клиентов ведущих поставщиков мобильных услуг в Европейском Союзе могут быть скомпрометированы из-за ненадлежащей защиты web-сайтов. Специалисты компании Tala провели анализ сайтов 13 крупных компаний мобильной связи в ЕС и выяснили, что ни у одной из них нет даже минимально необходимых средств защиты.
«Ни один из мобильных провайдеров не получил проходной оценки за безопасность web-сайтов. Там, где оценка в более 80 баллов считается высокой, а 50 баллов — едва проходной, ни один из проанализированных мобильных провайдеров даже близко не набрал минимальное количество баллов», — отметили специалисты.
Во время процесса регистрации пользователей операторы связи собирают значительный объем конфиденциальных данных от своих клиентов, включая имена, адреса электронной почты, физические адреса, сведения о дате рождения, номера паспортов, расчетные листы и даже банковские реквизиты. Все собранные данные могут подвергаться риску компрометации из-за уязвимостей и использования стороннего кода. Как показали результаты анализа, все web-сайты используют опасные JavaScript-функции, подвергающие риску межсайтового выполнения сценариев (XSS). На одном из ресурсов было обнаружено 735 JavaScript-функций.
По словам экспертов, ни один из проанализированных web-сайтов не имел необходимой защиты для предотвращения непреднамеренной утечки данных, и любой фрагмент стороннего кода, запущенный на web-сайте, мог использоваться для «изменения, кражи или утечки информации посредством атак на стороне клиента».
Хотя обмен данными в большинстве случаев осуществлялся с помощью легитимных приложений, владелец ресурса не всегда осведомлен, какой объем и тип собираемых данных.
«Даже приложения из списка разрешений могут быть использованы для кражи данных, вызывая серьезные последствия для конфиденциальности данных и нарушение Общего регламента по защите данных (General Data Protection Regulation, GDPR). К сожалению, ни одна из проанализированных телекоммуникационных компаний ЕС не имеет достаточного представления о риске», — пояснили специалисты.