Защитили не так
Объединение юридических лиц «Центр Анализа и расследования кибератак» (ОЮЛ «ЦАРКА») образовано в 2015 году. Основным предметом деятельности Центра является содействие уполномоченным органам РК и частным структурам в выявлении и анализе кибер преступлений, развитие института информационной безопасности, а также проведение аудита информационной безопасности.
Как сообщил президент «ЦАРКА» Олжас Сатиев, при запросе той или иной справки на портале электронного правительства, пользователь получает прямую ссылку на документ в формате *.PDF, которая выглядит примерно так: http://egov.kz/shepDownloadPdf?favorId(номер документа)&iin=(номер ИИН)
Ошибка админов, продолжает президент «ЦАРКА», заключается в общей доступности Server-Status, что в свою очередь раскрывает все передаваемые запросы GET. Причем, по прямой ссылке можно было скачать документ без авторизации, а это позволяет злоумышленнику проводить атаку прямым перебором для получения всех выданных документов, или документы конкретного человека по его ИИН.
В итоге, продолжает Олжас Сатиев, все выдаваемые электронным правительством документы, независимо от точки обработки запроса (дома за собственным компьютером, ЦОН, мобильное устройство) были доступны для третьих лиц. По мнению президента «ЦАРКА», используя незначительную ошибку, которую многие ошибочно считают таковой, можно произвести масштабную атаку по краже документов. Все, что для этого требуется – немного свободного времени и простой скрипт для автоматизации процесса.
В «ЦАРКА» написали небольшой счетчик для анализа, который показал, что существовала возможность выкачать более 50 000 документов (или около 10Gb) граждан Республики Казахстан за недельный срок. И это не только безобидные адресные справки граждан, но и различные документы с чувствительной информацией, такие как справки о наличии недвижимого имущества.
Ошибка, описанная в данной статье, была передана в АО «НИТ» и исправлена, соответственно, эксплуатация данной уязвимости уже невозможна. Впрочем, президент «ЦАРКА» считает, что есть риск, что до того, как «заплатка» на уязвимость была поставлена, злоумышленники успели организовать утечку персональных граждан.
В комментариях запрещены ненормативная лексика и оскорбления, высказывания, нарушающие нормы законодательства РК, реклама, комментарии, набранные ЗАГЛАВНЫМИ буквами. Оставляя комментарий, вы соглашаетесь с тем, что можете быть привлечены к ответственности в соответствии с законодательством РК, а также даёте свое согласие на сбор и обработку ваших персональных данных.