Информационные технологииStfw.Ru 🔍
🕛

Прототип цифрового рубля взломали из-за базовых ошибок

23 команды из шести стран атаковали виртуальное государство Банк России
Прототип цифрового рубля взломали из-за базовых ошибок

В течение четырёх дней в ходе соревнований по кибербезопасности 23 команды из шести стран атаковали виртуальное государство с банками, энергетикой и заводами. Одним из главных объектов на полигоне стал цифровой рубль, который Банк России только начинает внедрять. Организаторы состязаний смоделировали реальную архитектуру: центральную платформу ЦБ, банки-посредники и обмен сообщениями по стандарту ISO 20022 поверх отечественного банковского ПО.

Участникам удалось взломать прототип цифрового рубля. Систему подвели базовые ошибки конфигурации: стандартные пароли, отключённая проверка цифровых подписей и отсутствие контроля прав доступа. По словам участников, чаще всего банковские системы удаётся взломать из-за паролей в конфигурационных файлах и логах, ключей на серверах и токенов в тестовых скриптах.

Павел Чернышев, начальник Управления анализа защищённости «Совкомбанка» и представитель команды DreamTeam по банковскому направлению отметил, что участникам была предоставлена возможность протестировать технологию, которая ещё не вышла в массовую эксплуатацию. «Главный вывод: гигиена секретов важнее дорогих средств защиты. Уберите пароли из конфигов, отзывайте старые ключи, не используйте слабые пароли — и закроете большую часть реальных векторов атак», — сообщил капитан команды DreamTeam.

Всего на киберполигоне из семи отраслей участниками были реализованы 245 критических событий. Больше всего атак пришлось на телеком с 74 инцидентами, а наиболее защищённым оказался сегмент ретейла, на который зафиксированы лишь семь успешных атак.
Победу в состязаниях в восьмой раз праздновала команда DreamTeam со специалистами «Совкомбанк Технологий», набрав 148535 очков.

Также по теме:
Stfw.Ru
Срочные новости кибербезопасности: свежие уязвимости, вирусы, ransomware-атаки, утечки данных, взломы и способы защиты приватности.