В IT-сервисе для бизнеса «Битрикс24» нашли восемь уязвимостей
Банк данных угроз и безопасности информации Федеральной службы по техническому и экспортному контролю (ФТСЭК) зарегистрировал восемь уязвимостей сервиса для управления бизнесом «Битрикс24». Из-за этих уязвимостей в теории можно получить незаконный доступ к защищаемой информации сервиса.
В разговоре с изданием РБК представитель «1С-Битрикс» заявил, что все облачные версии «Битрикс24» «давно обновлены и защищены от этих уязвимостей». По его словам, последние объявленные уязвимости не могут использовать анонимные внешние посетители, а только внутренние пользователи с большими полномочиями.
Информация о проблемах сервиса «Битрикс24» появилась в базе ФТСЭК 1 ноября. Согласно базе, эти уязвимости позволяют выполнить произвольный JavaScript-код, а также атаковать межсайтовый скриптинг (XSS). В базе этой уязвимости присвоен «критический уровень опасности». Информация об их устранении в базе отсутствует.
Бизнес-консультант по информационной безопасности компании Positive Technologies Алексей Лукацкий, который первым обратил внимание на появление уязвимостей в базе, отмечает, что ФСТЭК отвечает за техническую защиту конфиденциальной информации госорганов и владельцев критической информационной инфраструктуры. Критичные уязвимости должны быть устранены в течение 24 часов, менее критичные — от семи до 30 дней.
Сервис «Битрикс24» принадлежит компании «1С-Битрикс», разрабатывающей системы управления веб-проектами и корпоративными порталами. Согласно информации IT-маркетплейса Market.CNews, «Битрикс24» в 2023 году является лидером рейтинга CRM-систем для среднего и малого бизнеса. Портал предоставляет доступ к корпоративному чату, диску, календарю, группам и другим инструментам, а также системе управления продажами и коммуникациями с клиентами (CRM), контакт-центру. В 2021 году на сервисе было зарегистрировано 10 млн компаний.