Почти у каждой третьей финтех-компании есть критические уязвимости
Об этом рассказал международный эксперт в кибербезопасности, коммерческий директор ООО "Комплаинс Контрол" Аркадий Прокудин на конференции "Финтех в безопасности 2026". По его словам, более 1,3 тыс. тестов на проникновение (пентестов) среди компаний, относящихся к финансовому, банковскому, ретейл-сектору и маркетплейсам (более 52%), обнаружили уязвимости низкого уровня, а 29,3% - высокого и критического. Он отметил, что ни одна из компаний - участниц проверок ни разу не смогла пройти ее без замечаний, вне зависимости от вида деятельности.
При этом, по словам Аркадия Прокудина, уязвимости носят типовой характер, и с ними сталкиваются все сотрудники отделов информационной безопасности. В топ самых распространенных уязвимостей среди банков и финтех-компаний вошли "использование компонентов с известными уязвимостями" и "корректность настроек параметров безопасности", помимо этого, финтех-компании и маркетплейсы испытывают сложности с информационной безопасностью в области контроля доступа. Также к уязвимостям кредитных организаций относятся "хранение учетных данных в открытом виде в текстовых файлах", "несанкционированные места хранения данных платежных карт", сетевые атаки класса NTLM relay, финтех-компаний - "корректность настроек параметров безопасности", "использование стандартных учетных данных и простых словарей паролей" и "ошибки конфигурации и небезопасные настройки сервисов", а ретейл и маркетплейсы - "разглашение конфиденциальных данных", "аутентификация и управление сессиями", "исчерпание пакета SMS", "уязвимость бонусной системы и программ лояльности".
"Финтех традиционно остается одной из наиболее атакуемых и одновременно одной из наиболее продвинутых в плане защиты от различных векторов угроз отраслей. Однако вскоре индустрию ждет новый виток развития, который повлечет за собой пересмотр подходов к кибербезопасности. В июле 2026 г. может вступить в силу закон "О цифровой валюте и цифровых правах", который легализует операции с криптовалютой в правовом поле. Это даст крупнейшим институциональным игрокам (банкам, брокерам, фондам и пр.) новые финансовые и технологические инструменты. Отечественный рынок цифровых активов заметно расширится - появятся новые игроки, существенно вырастут объемы операций, но вместе с ними вырастет и количество кибермошенников, которые целенаправленно будут атаковать цифровые платформы", - рассказал директор по развитию ООО "Веб3 Технологии" (Web3 Tech) Кирилл Антонов.
По его словам, злоумышленники все чаще пытаются получить доступ к закрытым ключам, кошелькам, административным панелям, системам обновления программ, внешним подрядчикам и процессам согласования операций. Риск, как он отметил, возникает не только в коде, но и виде хранения активов, доступе сотрудников и подписании транзакций. Кирилл Антонов рассказал, что в 2025 г. львиная доля потерь пришлась на проблемы инфраструктуры и атаки цепочек поставок.
Руководитель центра тестирования на проникновение ООО "Инностейдж" (Innostage) Александр Колесов отметил необходимость разделить уязвимости и атаки на инфраструктуру и приложения. По его словам, злоумышленники чаще всего атакуют либо связанные с деньгами приложения, либо инфраструктуру. В случае атак на инфраструктуру злоумышленники чаще всего ищут уязвимости для проникновения внутрь системы и дальнейшего развития атаки.
"Большая часть уязвимостей приложений связана с бизнес-логикой и логикой приложения. Для подобных систем часто выявляются уязвимости - получение доступа к чужим данным в обход средств защиты информации (это различные IDOR'ы и broken access control и т.д.). Это ошибки, связанные с логикой работы - например, округление операций или отмена транзакции в обход логики или процесса оплаты/перевода/транзакции. Это специфичные уязвимости/атаки именно на приложения финтеха и в целом связанные с финансами", - заключил Александр Колесов.