Они даже не знают что их взломали: Тихая катастрофа российского интернета

Тысячи российских сайтов оказались легко уязвимы для мошенников, потому что их делали фрилансеры-новички, отучившиеся на онлайн-курсах. В итоге персональные данные оттуда может похитить даже школьник.

База рассказывает о масштабной ошибке российских предпринимателей, заказавших сайты «по дешёвке». Бизнесмены в погоне за экономией заказывают разработку «под ключ» за 15–20 тысяч у частников вместо того, чтобы обратиться в надёжную компанию. Неопытные разработчики часто не заморачиваются с защитой или банально не знают, как её сделать.

Проблема возникает при добавлении функционала для приёма заявок. Чтобы форма автоматически приходила предпринимателю в мессенджер, разработчик подключает сервис-бот. Для связи бота с сайтом нужен специальный ключ доступа — токен, через который проходят данные клиентов.

Профессиональные разработчики прячут токен на защищённом сервере. Профаны оставляют его прямо в коде сайта — на всеобщее обозрение.

«Это как установить на двери домофон и код от него написать прямо на подъезде», — объясняет на простом примере директор крупной IT-компании Евгений Половинкин.

Злоумышленники с помощью несложных инструментов легко сканируют сайты и находят эти токены. В итоге они могут:

• отслеживать входящие заявки
• собирать персональные данные пользователей
• рассылать сообщения
• перехватывать управление

По словам эксперта, найти эту уязвимость может даже школьник. И на это уйдёт всего пять минут.

Экономия на разработке сайта оборачивается потерей данных клиентов и репутации. Токен в коде — это не просто ошибка новичка. Это дверь, которую открыл сам предприниматель, заплатив за взлом из своего кармана.