Peste 90% dintre website-urile româneşti prezintă vulnerabilităţi încadrate la grad ridicat de risc, este concluzia unei campanii de audit de aplicaţii web efectuate de compania GECAD NET în perioada noiembrie-decembrie 2008.
Campania de auditare a relevat prezenţa a 1556 de vulnerabilităţi severe, 545 cu grad de risc mediu şi 310 cu grad scăzut de risc.
Alexandru Molodoi, CTO la GECAD NET şi coordonator al campaniei, spune: "Rezultatele arată că website-urile din România au urgent nevoie de remedii serioase pentru că fiecare vulnerabilitate critică, odată exploatată, poate determina întreruperea activităţii site-ului respectiv şi chiar, mai grav, pierderea sau facilitarea furtului datelor existente în bazele de date cu utilizatori".
Vulnerabilităţile cu grad ridicat de risc includ SQL Injection, Cross-Site Scripting, Parameter Tampering şi Cookie Poisoning. Exploatarea acestora se soldează în cele mai frecvente cazuri cu:
- Furtul, modificarea sau distrugerea informaţiilor din bazele de date
- Furtul identităţii utilizatorilor
- Efectuarea de tranzacţii online de către atacator în numele utilizatorului atacat
- Preluarea controlului total asupra aplicaţiei sau chiar a serverului
- Modificarea paginilor - dezinformare sau compromiterea imaginii
- Indisponibilitatea aplicaţiei/website-ului
Campania de audit de website-uri şi aplicaţii web a avut loc în intervalul 24 noiembrie - 15 decembrie 2008 şi a presupus scanarea şi analizarea a 53 de site-uri româneşti şi a aplicaţiilor aferente, aparţinând unor importante companii cu activitate online.
"Auditarea a fost organizată pe două etape, în prima fiind executată scanarea site-urilor cu instrumente software specifice. În a doua etapă am analizat rezultatele obţinute şi am efectuat câte un raport de audit pentru fiecare dintre website-urile analizate, documente care includ şi detalii despre vulnerabilităţile descoperite", adaugă Alexandru Molodoi.
Auditul s-a realizat pe website-uri care acoperă segmente diferite pe piaţa online, de la furnizarea de ştiri de interes general dar şi de nişă, până la magazine online sau site-uri de joburi.
"Companiile care activează în online ar trebui să acorde un interes mai mare securităţii aplicaţiilor web pe care le dezvoltă pentru că existenţa unor breşe ce pot fi uşor exploatate poate conduce nu doar la indisponibilitatea aplicaţiei şi la pierderi de trafic dar şi la pierderea încrederii utilizatorului în website-ul respectiv, în general la pierderea reputaţiei online", conchide oficialul GECAD NET.
GECAD NET oferă servicii de audit de website şi aplicaţii web care includ analizarea detaliată şi interpretarea rezultatelor, punând totodată la dispoziţie o echipă de consultanţi în securitate online ce vine în sprijinul companiilor în vederea remedierii vulnerabilităţilor constatate în timpul auditării.
GECAD NET este o companie specializată în comercializarea şi implementarea aplicaţiilor software, furnizează opţiuni adecvate de licenţiere, servicii IT integrate, servicii de website sau aplicaţie web şi asigură soluţii profesionale de securitate IT sub brandul propriu SENTINET.
Cu o tradiţie de peste 16 ani in domeniul IT, GECAD NET a obţinut numeroase premii şi certificări din partea celor mai importanţi producători mondiali. Compania deţine în prezent statutul de Microsoft Gold Certified Partner, Autodesk Value Added Reseller şi Autodesk Authorized Training Center, Trend Micro Authorized Distributor, IBM Internet Security Systems Distributor, Kaspersky Distributor.
GECAD NET are în prezent peste 1200 de clienţi în domenii precum telecomunicaţiile, sectorul financiar-bancar, cel al construcţiilor, energiei, petrolului şi gazelor şi altele. Printre aceştia se numără Agip Romania, Alro SA, Angst, Autoitalia, Banc Post, Catavencu, CEC, Daedalus Consulting, Despec România, Editura Polirom, Fan Courier, Farmexim, Garanta, Honeywell Garett, Mercury360, Metroul SA, Monsanto, Omniasig, Petrom, Ringier, Rosal Grup, Şantierul Naval Constanţa, Sensiblu, Star-Storage, Tempo Advertising, Vodafone România.
GECAD NET este companie membră a Grupului GECAD.