Конфиденциальные документы граждан Казахстана можно найти через Google.

Об этом заявили представители Центра анализа и расследования кибер атак (ЦАРКА) на своей странице в Facebook, рассказывая об уязвимостях на портале «Электронного правительства» РК.

«Конфиденциальные документы граждан Казахстана можно найти через Google. Google и Bing индексирует все доступные в сети документы E-GOV и дает возможность их скачать без всякой авторизации. Мы получаем целый список проиндексированных конфиденциальных данных в виде справок об имуществе, участниках компаний и много других интересных документов и возможность, совершенно легально, их скачать», — говорится в сообщении организации.

Кто-то ответственный за это правонарушение скажет, что документы старые, не секретные или еще что-нибудь, но это не важно. Факт остается фактом, документы ,раскрывающие в том числе банковскую тайну, доступны через обычный поисковик и не исключено что список этих документов будет только увеличиваться», — отмечают в ЦАРКА.

Как сообщил президент «ЦАРКА» Олжас Сатиев, «при запросе той или иной справки на портале электронного правительства, пользователь получает прямую ссылку на документ в формате *.PDF, которая выглядит примерно так: http://egov.kz/shepDownloadPdf?favorId(номер документа)&iin=(номер ИИН)», — пишет сайт computerworld.kz.

«Ошибка админов, — продолжает президент «ЦАРКА», — заключается в общей доступности Server-Status, что в свою очередь раскрывает все передаваемые запросы GET. Причем, по прямой ссылке можно было скачать документ без авторизации, а это позволяет злоумышленнику проводить атаку прямым перебором для получения всех выданных документов, или документы конкретного человека по его ИИН».

«В итоге, — продолжает Олжас Сатиев, — все выдаваемые электронным правительством документы, независимо от точки обработки запроса (дома за собственным компьютером, ЦОН, мобильное устройство) были доступны для третьих лиц».

По мнению президента «ЦАРКА», «используя незначительную ошибку, которую многие ошибочно считают таковой, можно произвести масштабную атаку по краже документов. Все, что для этого требуется – немного свободного времени и простой скрипт для автоматизации процесса».

«В «ЦАРКА» написали небольшой счетчик для анализа, который показал, что существовала возможность выкачать более 50 000 документов (или около 10Gb) граждан Республики Казахстан за недельный срок. И это не только безобидные адресные справки граждан, но и различные документы с чувствительной информацией, такие как справки о наличии недвижимого имущества», — пишет сайт.

Стоит отметить, что ошибка, описанная в данной статье, была передана в АО «НИТ» и исправлена, соответственно, эксплуатация данной уязвимости уже невозможна.

Впрочем, президент «ЦАРКА» считает, что «есть риск, что до того, как «заплатка» на уязвимость была поставлена, злоумышленники успели организовать утечку персональных данных граждан».

Объединение юридических лиц «Центр Анализа и расследования кибератак» (ОЮЛ «ЦАРКА») образовано в 2015 году. Основным предметом деятельности Центра является содействие уполномоченным органам РК и частным структурам в выявлении и анализе кибер преступлений, развитие института информационной безопасности, а также проведение аудита информационной безопасности.