Более 51% банковских сайтов используют HTTP вместо HTTPS

Опубликовано: 25-07-2018

Известный SEO-специалист Павел Медведев проанализировал топ-500 сайтов банков и финансовых организаций. Выяслилось, что более половины этих сайтов используют незащищенный протокол HTTP вместо HTTPS. О результатах исследования и выводах из него он рассказал в статье на своем сайте от 23 июля 2018 года.

Как оказалось, 51% проанализированных сайтов не имеют сертификат SSL и работают по протоколу HTTP. Часто сертификат отсутствует на страницах, где используются личные данные пользователей и реквизиты банковских карт — например, на страницах с формами заявки. Незащищенный трафик можно отследить или изменить — этим могут воспользоваться мошенники, чтобы украсть личные данные и деньги клиентов банка. У систем интернет-банкинга такой проблемы обычно нет, но в редких случаях SSL отсутствует и там.

Также обнаружилось, что сайты банков имеют и другие слабые места в безопасности. Иногда сайты используют одновременно протоколы HTTP и HTTPS — это чревато дополнительными проблемами. У некоторых банков отсутствует файл robots.txt — есть риск утечки важных данных в поисковые системы. В сервисы интернет-банкинга могут быть встроены скрипты Google Analytics и Яндекс.Метрика — эти скрипты могут стать причиной утечки данных или лазейкой для злоумышленника.

Сам Медведев высказался об этом факте с осуждением и недоумением. Он считает, что подобное отношение к вопросу безопасности данных недопустимо для банков. «Защищенный протокол создавался как раз для безопасности конфиденциальных и личных данных в интернете, сохранности банковской тайны, то есть, кому, если не банкам, нужно было первыми перейти на него?» — так он говорил об этом в своей статье.