Тысячи российских сайтов оказались уязвимы для кибератак из-за ошибок разработчиков

27 апреля 2026 г.

Тысячи российских сайтов легко могут стать жертвами мошенников, так как их создавали фрилансеры-новички, обучившиеся на онлайн-курсах.

В результате даже школьник может украсть оттуда персональные данные. «База» сообщает о масштабной ошибке российских предпринимателей, заказавших сайты «по дешёвке».

Бизнесмены в стремлении сэкономить поручают создание сайтов «под ключ» за 15–20 тысяч частным лицам вместо того, чтобы обратиться в надёжную компанию. Часто неопытные разработчики не утруждаются защитой сайта или просто не знают, как её обеспечить.

Чаще всего проблема возникает при добавлении функционала для приёма заявок от посетителей сайта. Чтобы форма автоматически приходила предпринимателю в какой-нибудь мессенджер, разработчик подключает сервис-бот. Для связи этого бота с сайтом нужен специальный ключ доступа — токен, через который, грубо говоря, проходят данные клиентов.

Профессиональные разработчики должны прятать этот токен на защищённом сервере. Но профаны оставляют его прямо в коде сайта: по сути на всеобщее обозрение. Это как установить на двери домофон и код от него написать прямо на подъезде — объясняет на простом примере директор крупной IT-компании Евгений Половинкин.

Эксперт рассказывает, что злоумышленники с помощью несложных инструментов легко сканируют сайты и находят эти токены. В итоге они могут отслеживать входящие заявки, собирать персональные данные пользователей, рассылать сообщения или даже перехватывать управление. По его словам, найти эту уязвимость может даже школьник, и на это уйдёт всего пять минут.