Более двух тысяч уязвимостей. Пятьсот из них - критических. Не в каком-нибудь форуме хакеров, а в топ-100 приложениях из разделов «Объявления» и «Онлайн-услуги», пишут "Известия". Казалось бы, где доска объявлений - и где высокотехнологичная киберпреступность? Но в 2025 году границы между ними окончательно размылись.
Сценарий типичный: пользователь размещает объявление об аренде квартиры или услугах автоэлектрика. Через неделю - звонок «из техподдержки»: мол, подозрительная активность, нужно срочно сменить пароль. А потом - сброшенный аккаунт, пустой счёт и фальшивый сайт, где его данные теперь живут своей жизнью.
Можно сказать, что это обычная история социальной инженерии. Но масштабы настораживают: речь идёт о массовом, почти институциональном провале в области безопасности потребительских приложений. Особенно тех, что работают на стыке маркетплейсов, финтеха и личных данных.
Ирония в том, что эти же сервисы годами рассказывали нам о «технологическом комфорте», «гибкости цифровых решений» и «мгновенном доступе». В итоге - мгновенный доступ получили не пользователи, а мошенники.
Когда кнопка «Войти» открывает слишком много дверей
Проблема глубже, чем кажется. Утечка данных в маленьком сервисе объявлений может стать брешью в куда более серьёзной экосистеме: где завязаны карты, банковские аккаунты, бонусные баллы и даже профили в службах доставки. Финтех тем и хорош, что интегрирован - но в этом же его ахиллесова пята.
В бизнесе давно поняли: клиенты не читают пользовательские соглашения, но помнят, чей логотип был в приложении, где их взломали. Поэтому безопасность уже не IT-вопрос, а часть маркетинга и бренд-менеджмента. Вы либо защищаете пользователя - либо он голосует недоверием.
Пока же наблюдаем парадокс: многие компании инвестируют в чат-ботов, генеративный контент и персонализированную рекламу, но оставляют в коде приложения двери настежь. Видимо, многим удобнее потратить бюджет на киберкампанию в медиаполе, чем на кибербезопасность в API.
Кто ответит, если бизнес исчезнет в один клик?
Утечка аккаунта сегодня — это не просто потеря доступа, а крах цифровой идентичности. Профили, отзывы, история платежей, клиентская база — всё, что создавалось годами, может исчезнуть за считаные минуты.
И если вы думаете, что это касается только малого бизнеса, то зря. Даже крупные игроки со встроенной авторизацией и SSO страдают от фишинга, схем «поддержки» и поддельных интерфейсов. Просто они об этом не пишут в пресс-релизах.
Что дальше?
Будем честны: абсолютной защиты не существует. Но игнорирование очевидных угроз уже стало слишком дорогостоящей роскошью. То, что раньше можно было решить «прошивкой» осведомлённого айтишника, теперь требует системного подхода: от обучения персонала до внедрения EDR, SIEM и обязательной двухфакторной аутентификации.
И да, возможно, пора отказаться от идеи, что каждое приложение должно быть суперприложением. Безопасность любит специализацию и простоту. Мошенники — наоборот.
