|
Алла Иванилова
Портал “электронного правительства”, который в этом году отмечает свое десятилетие, оказался не очень конфиденциальным. В открытый доступ попали данные его пользователей, которые не должны были быть опубликованными
Большое количество потребителей казахстанского интернета, как мы уже не раз отмечали, уже давно использует удобный портал egov.kz для получения онлайн-услуг. Полагаясь на квалификацию его разработчиков, казахстанцы указывают свои личные данные, не подозревая, что они могут стать всеобщим достоянием.
И вот, как стало известно, объединение юридических лиц “Центр анализа и расследования кибератак” обнаружило уязвимость “электронного правительства”. Технически это выглядит так: когда с egov скачивается какая-либо справка, формируется прямая ссылка на документ в формате PDF с уникальным номером и ИИН того, кто запрашивает услугу. Если ссылку отправить другому человеку, он сможет скачать документ без авторизации и другие ранее выданные справки пользователя по его индивидуальному идентификационному номеру (ИИН).
В итоге все документы, получаемые с “электронного правительства”, независимо от места обработки запроса (дома за собственным компьютером, в Центре обслуживания населения или с помощью мобильного устройства) были доступны для третьих лиц.
Специалисты Центра анализа и расследования кибератак провели анализ, в ходе которого выяснили, что таким образом можно выкачать более 50 тысяч документов (или около 10 GB) граждан Казахстана за недельный срок. И это не только адресные справки и сведения о наличии недвижимого имущества, но и документы, раскрывающие, например, банковскую тайну.
Прискорбно и то, что многие персональные данные казахстанцев попали в свободный доступ и их можно было скачать через поисковик. Ссылки на документы egov начали где-то публиковаться, а Google и Bing их индексировать, поскольку у сайта не было запрета на это. Таким образом и произошла утечка по всей сети.
Правда, спустя 10 часов после публикации информации Центра анализа и расследования кибератак об уязвимости портала “электронного правительства” Казахстана все “недоработки” АО “Национальные информационные технологии” были устранены. Теперь Google выдает ошибку, но документы остаются сохраненными в кэше поисковика.
Как говорится, “осадок” остался, как и некоторые вопросы.
Никто не может гарантировать, что документы не были сохранены злоумышленниками для каких-либо действий. Возникает вопрос: почему главная информационная система Казахстана, в которой хранится информация обо всех гражданах, не защищает наши персональные данные? Ведь она разработана и функционирует на средства налогоплательщиков, которые имеют право требовать обеспечения защиты на должном уровне.
Более того, согласно закону, получая персональные данные, организация обязана отвечать за их конфиденциальность. Ведь такая “незначительная” ошибка может привести к колоссальным последствиям и повторению ситуации, имевшей место, к примеру, в Турции, когда в сети была выложена вся база турецкого населения.
По мнению специалистов Центра анализа и расследования кибератак, пользователи портала государственных услуг, указывая свои данные, номера мобильного телефона, не подозревают о том, что эти сведения недостаточно защищены системой.
“Узнать ваш номер телефона, зная только ваши фамилию, имя и отчество, не составит труда. Для этого даже не нужно взламывать сам портал”, - пишут они, подробно раскрывая несложную схему, которая позволяет получить доступ к персональным данным пользователя.
Так, по имени человека злоумышленник потенциально может получить его ИИН, указанный в национальном удостоверении личности через сервис “Поиск налогоплательщиков” на сайте комитета государственных доходов. Далее через раздел сайта “электронного правительства” “Официальная блог-платформа”, используя ИИН, можно подать обращение в адрес любого госоргана, чтобы система выслала на мобильный телефон пользователя SMS с кодом подтверждения.
В этот момент, просмотрев исходный код текущей страницы, хакер обнаружит номер мобильного телефона в открытом виде. Данная уязвимость может быть потенциально использована для адресного или массового сбора персональных данных, в частности номеров мобильных телефонов, в любых целях. Хочется кому-то узнать номер понравившейся девушки или интересующего высокопоставленного чиновника. Можно пойти дальше, написать программу, которая по списку ИИН казахстанцев будет собирать номера телефонов.
Примечательно, что разработчикам портала “электронного правительства” известно о такой возможности, но они не считают ее уязвимостью системы. Тем не менее проблема с выдачей номера мобильного телефона в открытом виде все же была исправлена.
Между тем в Центре анализа и расследования кибератак полагают, что если провести полноценный независимый пентест (проверка на проникновение, метод оценки безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника), то, возможно, вскроются и более серьезные проблемы. Однако такой аудит без согласия представителей сайта не проводят. Проверку портала “электронного правительства” осуществляют сами же разработчики и, естественно, рапортуют о положительных тестах. На проверку основных шести государственных порталов затрачивается около 50 миллионов тенге ежегодно, и при этом имеются элементарные ошибки в разработке.
За информационную безопасность сейчас в стране готов платить только финансовый сектор. Оно и понятно, банкиры при взломе их систем несут реальные финансовые и репутационные потери, а руководитель государственного органа не теряет ничего, только бюджетные средства и данные граждан.
В итоге сегодня каждый пользователь, регистрируясь на большинстве казахстанских ресурсов для покупки товара, услуги или просто для того, чтобы почитать новости, сильно рискует тем, что его личные данные станут легкодоступны, так как владельцы ресурсов экономят на сохранности данных своих клиентов.
В социальной сети “ВКонтакте” обнаружена “лазейка”, с помощью которой пользователи могут просматривать личные документы, загруженные другими. Воспользовавшись опцией “поиск по документам”, любой желающий может получить доступ к сканам паспортов, водительских удостоверений, ИИН, а также к файлам текстовых редакторов со списками паролей и логинов для различных сервисов. Для этого нужно сформировать для поиска соответствующий запрос. Все файлы, выдаваемые по поисковому запросу, выложены в соцсеть ее пользователями.
Астана |
