51% сайтов банков и кредитных организаций используют незащищенный протокол HTTP вместо HTTPS. К таким результатам пришел SEO-специалист и эксперт по поисковым системам в Rush Agency Павел Медведев, проанализировав топ-500 сайтов, работающих с персональной банковской информацией.
Исследование показало, что более чем у половины банков вообще нет SSL сертификата, подтверждающего подлинность, сайты работают на HTTP и там вообще нет никакой защиты. Любой владелец WIFI-точки доступа или интернет-провайдер может с легкостью подменить любую информацию на сайте: номера телефонов, реквизиты и т.п.
Медведев уточняет, что приведенные данные касаются основных банковских сайтов, а не системы банк-клиент или онлайн-банк, однако считает это недопустимым:
«Это полный провал и позорище. Защищенный протокол создавался как раз для безопасности конфиденциальных и личных данных в интернете, сохранности банковской тайны, то есть, кому если не банкам нужно было первыми перейти на него? Если брать e-сommerce в РФ, то уже процентов 80 сайтов работают на HTTPS, остальные собираются или в процессе. Получается, у частных небольших компаний в этом плане дела обстоят лучше чем у банков».
На этих страницах нет данных банковских транзакций, но содержится много персональных пользовательских данных, для чего здесь просто обязательно должно быть установлено защищенное соединение. Тем более, что цена вопроса тут — покупка SSL-сертификата и настройка всех протоколов безопасности и шифрования на сервере. Стоимость SSL-сертификата в надежных центрах сертификации от 1500 — до 100.000 рублей в год, в зависимости от необходимого пакета услуг и числа доменов.
Что касается закрытых зон сайта — онлайн-банков, личных кабинетов - здесь, по словам Медведева, ситуация получше, однако есть и особо отличившиеся банки, у которых даже личный кабинет работает по незащищенному протоколу HTTP:
Проверка более 300 личных кабинетов банковских сайтов показала, что некоторые «защищенные» банковские сайты вообще не имеют валидного сертификата, либо их уровень безопасности настолько плох что браузеры полностью блокируют сайт:
Больше трети сайтов имеют проблемы с безопасностью, причем больше 10% — критические.
Напомним, на прошлой неделе Павел Медведев обнаружил в выдаче Яндекса личные данные россиян — сканы паспортов, данные о банковских платежах, билеты на самолеты и поезда и т.д. А так же установил, что 21% банковских сайтов вообще не содержат файл robots.txt, способный закрывать приватную информацию от индексации поисковыми системами.