Расширенный поиск
Центр анализа и расследования кибератак (ЦАРКА) вчера сообщил об обнаружении очередной уязвимости портала Электронного правительства Казахстана, из-за которой многие документы, содержащие конфиденциальную информацию – от персональных данных до сведений, составляющих банковскую тайну – могут быть обнаружены в открытом виде через поисковики.

«Google и Bing индексируют все доступные в сети документы казахстанского e-government и дают возможность их просмотреть и скачать безо всякой авторизации», – говорят в ЦАРКА. – «Это справки об имуществе (включая его технические характеристики) и правах на него, справки по обороту на транзитных счетах граждан, адресные справки физических лиц, документы о компаниях и прочее».

Ситуация, очевидно, представляет собой серьезное нарушение правил хранения персональных данных. Согласно ст. 147 Уголовного кодекса республики, в данном случае должна наступать ответственность за «нарушение неприкосновенности частной жизни и законодательства о персональных данных и их защите», если кем-то будет подан иск о причинении вреда правам и законным интересам лиц. Закон предусматривает наказание от штрафа до лишения свободы.

В комментарии для Digital.Report специалисты ЦАРКА объяснили механику уязвимости.

«Когда пользователь заходит в свой личный кабинет и запрашивает любую справку, то для ее скачивания генерируется определенный URL, в котором содержится уникальный номер документа и индивидуальный идентификатор резидента Казахстана. Как выяснилось, любой пользователь имеет возможность скачать документ по ссылке, даже не пройдя авторизацию на сайте электронного правительства. Нет проверки на принадлежность данного документа какому-либо пользователю. Когда ссылка на документ как-то “засвечивается” – например, при передаче кому-нибудь – поисковики сразу ее индексируют и добавляют в выдачу. Из-за ошибки с Server-status все ссылки на скачиваемые документы в режиме реального времени отображались в сети – и многие индексировались поисковиками. То, что в выдаче сейчас не вся база документов egov.kz – это не заслуга разработчиков портала, а, скорее, недоработка Google», – говорят в ЦАРКА.

На данный момент госкомпания «Национальные информационные технологии», которая также отвечает за разработку и поддержку портала электронного правительства, предприняла шаги по редактированию файла robots.txt, в котором прописаны правила для поисковых систем. Но, по словам специалистов ЦАРКА, это не решает суть проблемы — имея ссылку, третье лицо способно скачать конфиденциальный документ.

«Проблема в том, что система не проверяет, кто скачивает документ. Такая возможность должна быть предоставлена только владельцу справки. Запрет в robots.txt – это лишь малая доля решения. Никто не мешает злоумышленникам воспользоваться другими поисковыми системами, которые игнорируют данный файл», – объясняют в Центре.

На днях вице-министр по инвестициям и развитию страны Сакен Сарсенов обнародовал сумму, потраченную за десять лет на реализацию электронного правительства – 46 млрд тенге (из-за неоднократных девальваций, произошедших в стране за это время, трудно дать точный аналог данной суммы в долларах, но в среднем выражении это составляет около 150 млн долларов). Он добавил, что экономический эффект превысил 78 млрд тенге. Также, он заявил, что портал соответствует высоким международным стандартам.

Об авторе

Digital Report

Digital Report рассказывает о цифровой реальности, стремительно меняющей облик стран Евразии: от электронных государственных услуг и международных информационных войн до законодательных нововведений и тенденций рынка информационных технологий.

Написать ответ

Send this to a friend

Перейти к верхней панели