В понедельник «Центр анализа и расследование кибер атак» (ЦАРКА), казахстанская организация, работающая в области информационной безопасности, опубликовала на популярном ресурсе habrahabr.ru запись об обнаруженной уязвимости на портале электронного правительства страны.
По сообщению специалистов Центра, пользователи, использующие портал для получения государственных услуг через интернет, указывают свои номера мобильного телефона, не подозревая о том, что эти данные недостаточно защищены системой. «Узнать ваш номер телефона, зная только ваши фамилию, имя и отчество, не составит труда. Для этого даже не нужно взламывать сам портал», — пишут они, подробно раскрывая несложную схему, которая позволяет получить доступ к персональным данным пользователя.
По имени человека злоумышленник потенциально мог получить его ИИН — индивидуальный идентификационный номер, указанный в национальном удостоверении личности через сервис «Поиск налогоплательщиков» на сайте Комитета государственных доходов. Вторым шагом, через раздел сайта электронного правительства «Официальная блог-платформа», используя ИИН, можно было подать любое обращение в адрес любого госоргана, чтобы система выслала на мобильный телефон пользователя SMS с кодом подтверждения. В этот момент, просмотрев исходный код текущей страницы, хакер мог бы обнаружить номер мобильного телефона в открытом виде.
По мнению специалистов, данная уязвимость может быть потенциально использована для адресного или массового сбора персональных данных — в частности, номеров мобильных телефонов — в любых целях. Как пишут авторы поста, они продемонстрировали данную проблему на одной из конференций осенью прошлого года в Астане, получив в качестве примера номер личного телефона одного из участников мероприятия. Присутствовавшие в зале представители портала электронного правительства сообщили, что им известно о такой возможности, но они не считают ее примером уязвимости системы.
DR связался с представителями ЦАРКА. По их словам, это не единственная уязвимость портала. «Если сделать полноценный независимый пентест (проверка на проникновение, метод оценки безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника — прим. DR), то, возможно, вскроются и более серьезные уязвимости».
«Мы не можем провести такой тест без их согласия, и поэтому опубликовали только ту уязвимость, которая лежит на поверхности», — добавляют в ЦАРКА.
При этом, специалисты признают, что уязвимости могут возникать практически у всех систем — у разработчика и у специалиста по информационной безопасности разные подходы. «Для нас такая проблема является потенциальным риском, который можно использовать уже в комплексе других уязвимостей», — объясняют в Центре.
Максат Сабыров, специалист в области кибербезопасности, видит главную проблему в отношении к выявленной уязвимости портала — «а именно, то, что они ее не считают проблемой». Нужно признать ее и заняться исправлением самого кода, подчеркивает он в интервью DR.
В ЦАРКА сообщили, что через сутки после поста на habrahabr.ru, проблема с выдачей номера мобильного телефона в открытом виде была исправлена. Однако для полноценного решения вопросов информационной безопасности государственных онлайн-сервисов в Казахстане, по мнению ЦАРКА, необходимы независимые пентесты. «Для начала нужно хотя бы передавать и хранить персональные данные в зашифрованном виде», — добавляет Сабыров.
- Like
- Digg
- Del
- Tumblr
- VKontakte
- Flattr
- Buffer
- Love This
- Odnoklassniki
- Meneame
- Blogger
- Amazon
- Yahoo Mail
- Gmail
- AOL
- Newsvine
- HackerNews
- Evernote
- MySpace
- Mail.ru
- Viadeo
- Line
- Comments
- Yummly
- SMS
- Viber
- Telegram
- Subscribe
- Skype
- Facebook Messenger
- Kakao
- LiveJournal
- Yammer
- Edgar
- Fintel
- Mix
- Instapaper
- Copy Link
