На портале электронного правительства Казахстана обнаружили уязвимость

15.04.2016

На портале электронного правительства обнаружили уязвимость, сообщает Центр анализа и расследования кибератак (ЦАРКА).

Ошибка администраторов портала egov.kz была в том, что был общедоступен Server-Status. Это позволяло по прямой ссылке скачивать документы без авторизации на сайте, в том числе, получить все нужные данные прямым перебором или же информацию о конкретном человеке по его ИИН.

Президент ЦАРКА Олжас Сатиев сообщил, что таким образом независимо от того, откуда шел запрос (от домашнего компьютера, ЦОНа или
мобильного устройства), все выдаваемые электронным правительством документы были доступны для третьих лиц. Используя такую незначительную ошибку, злоумышленники могли произвести масштабную атаку по краже документов.

В ЦАРКА провели анализ, который показал, что за неделю можно было скачать более 50 000 документов (или около 10 гигабайт данных) граждан страны. Причем среди документов могли быть не только простые адресные справки, но и информация о наличии недвижимого имущества, в том числе содержащая банковскую тайну.

Об ошибке сообщили в АО «Национальные информационные технологии», и она была исправлена. Теперь воспользоваться такой возможностью будет уже невозможно, но в ЦАРКА считают, что есть риск того, что до устранения ошибки злоумышленники успели организовать утечку персональной информации граждан.

Опубликовал: Александр Янкевич (info@ict-online.ru)

Тематики: Интеграция, ПО