Последние события

19% веб-серверов британских телекоммуникационных компаний раскрывают настройки систем безопасности

19.04.202617.04.2026
0
19% веб-серверов британских телекоммуникационных компаний раскрывают настройки систем безопасности

Компания Ethiack опубликовала результаты исследования, которые показывают, что почти каждый пятый веб-сервер, используемый британскими телекоммуникационными компаниями, непреднамеренно раскрывает информацию о типе и версии программного обеспечения через баннеры HTTP-ответов. Эта информация может служить ориентиром для киберпреступников, ищущих уязвимые места.

В отчете проанализировано более 50 тыс. цифровых активов, включая клиентские порталы, API, почтовые серверы и административные системы, принадлежащие почти 600 телекоммуникационным компаниям, работающим в 30 европейских странах. Британские телекоммуникационные операторы, включая BT, Vodafone и Three, предоставили более 8300 активов для включения в набор данных, что является самым большим объемом среди всех стран, участвовавших в исследовании.

Хотя 19% представляет собой более низкий уровень уязвимости, чем средний показатель по Европе (47%), объем затронутых активов остается значительным. Раскрытие информации о ПО сервера в баннерах HTTP-ответов само по себе не является уязвимостью, но эта информация может позволить опытным злоумышленникам определить, какие известные эксплойты могут быть применимы к данной системе. По словам представителя компании, спонсируемые государством и изощренные злоумышленники все чаще используют автоматизацию на основе ИИ для сканирования большого количества сайтов именно на предмет такой технической информации.

Помимо раскрытия информации в баннерах, в отчете были выявлены и другие слабые места. Почти два из пяти (37%) SSL-сертификатов, используемых на европейских телекоммуникационных сайтах, оказались недействительными, просроченными или неправильно настроенными. SSL-сертификаты выполняют двойную функцию: шифрование данных при передаче и проверка подлинности веб-сайта провайдера. В случае отсутствия или недействительности этих сертификатов данные клиентов, отправленные через формы входа в систему или заказа, могут быть перехвачены, и злоумышленники могут использовать эту уязвимость для выдачи себя за легитимные сайты.

В общей сложности анализ Ethiack выявил 1452 критически важных актива (включая VPN, административные панели и системы взаимодействия с клиентами) со значительными уязвимостями в системе безопасности, которые могут напрямую повлиять на работу и данные клиентов.

По материалам thepaypers.com; PLUSworld.ru.