Компания "Киевоблэнерго" в очередной раз подтвердила свой статус средневековой организации. На официальном сайте до сих пор отсутствует шифровка данных, что может привлечь интерес хакеров (и это будет сделать легко). Редакция 44.ua возмущена и разобралась, что же там происходит.
"Киевоблэнерго" не защищает персональные данные своих клиентов
Да, эта прекрасная организация оказывает услуги и берет за это деньги. Если с первым моментом у "Киевоблэнерго" все в порядке, то со вторым не сложилось. Компания просто не защищает персональные данные своих клиентов. В частности, протокол https отсутствует на всех страницах сайта (лично проверили, интересно же), в том числе и разделе "Оплата". Об этом можно убедиться, переходя по этой ссылке.
Пользователь может оплатить нужную сумму, избавив себя от долга... И лишней конфиденциальности. Страничка охотно примет ваши данные вместе с номером карточки, после чего оставит их без присмотра.
Если вы решили войти в свой кабинет, не спешите расслабляться - опасность утраты контроля над ситуацией есть и там. Протокол https позволяет пользователям безопасно проходить аутентификацию. То есть оплата оплатой, а получить вагон проблем вы можете при обычной регистрации или входе.
Отсутствие протокола https автоматически ведет к повышенной угрозе потери данных. Учитывая, что "Киевоблэнерго" с удовольствием позволяет всем желающим оплачивать свои услуги через специальный раздел сайта, это выглядит как халатность. По сути, без шифровки данных, которыми пользователь обменивается с сайтом, вся база становится легкой добычей для киберпреступников.
Ни для кого не секрет, что отсутствие элементарной шифровки делает сайт невероятно привлекательной мишенью для хакеров любого уровня крутости. Так что, пожалуйста, не обижайтесь, если вскоре "Киевоблэнерго" начнет рекламировать онлайн-казино или писать нецензурные сообщения в стиле "Страница захвачена хакерами". И, пожалуйста, не оставляйте там свои данные, ведь они раздаются практически без ограничений.
Кроме того, есть риск отторжения аудитории. Плашка https в адресной строке гарантирует пользователю хоть какую-то безопасность. Потому, пока ее не будет в арсенале "Киевоблэнерго", огромное количество людей опцию оплаты через электронный кабинет проигнорирует. Те же, кто попытается это сделать и станут жертвами киберпреступников, обвинять будут только "Киевоблэнерго".
Да, совершить акт унижения может кто угодно. Защиты нет, реагирования администраторов тоже - взлом остается лишь вопросом времени. Так что проблема заключается в невероятно аппетитном статусе сайта. Получив контроль над ним, мошенники смогут одновременно заявить о себе (мощный пиар) и завладеть базу данных, которую можно продавать частями на протяжении многих лет.
Конечно же, инструкцию по взлому мы добавлять не будем. К счастью, поисковые системы немного отодвинули вредоносные лайфхаки на задний план - но даже без простых зевак профессионалов, зарабатывающих на хлеб с икрой таким способом, вокруг хватает с лихвой.
Читайте также: "Жертвы" гололеда: более 1,2 тыс. киевлян попали в больницу с травмами