Конфиденциальные документы граждан Казахстана можно найти через Google. Об уязвимостях на портале «Электронного правительства» на своей странице в Facebook рассказали представители Центра анализа и расследования кибератак (ЦАРКА), сообщает Tengrinews.kz.
«Google и Bing индексируют все доступные в Сети документы Egov и дают возможность их скачать без авторизации. По запросу в Google мы получаем целый список проиндексированных конфиденциальных данных в виде справок об имуществе, участниках компаний, адресных справок и много других интересных документов и возможность совершенно легально их скачать. Кто-то ответственный за это правонарушение скажет, что документы старые, несекретные или еще что-нибудь, но это не важно. Факт остается фактом, документы, раскрывающие в том числе банковскую тайну, доступны через обычный поисковик, и не исключено, что список этих документов будет только увеличиваться», — говорится в сообщении общественной организации.
Однако подчеркивается, что спустя некоторое время после публикации стало известно, что уязвимость устранена. Теперь при обращении к документам в Google выдается ошибка. Представители ЦАРКА полагают, что«отдельным пострадавшим казахстанцам не составит особого труда доказать в суде, что подобные деяния со стороны оператора Egov причинили существенный вред их правам и законным интересам».
«Мы очень надеемся, что новое руководство НИТа более ответственно будет подходить к вопросам информационной безопасности, а органы, отвечающие за контроль и надзор за деятельностью «Электронного правительства», дадут правовую оценку и примут необходимые меры для того, чтобы остановить рост списка конфиденциальных документов в Google. Понятно, что документы, уже попавшие в Сеть, будут доступны еще очень долго хотя бы в кэше поисковика», — поясняется в сообщении. Организация просит юристов и прокуратуру дать пояснения по поводу данной ситуации.
По данным организации, ошибка администраторов Egov заключается в общей доступности Server-Status, что в свою очередь раскрывает все передаваемые запросы GET. По прямой ссылке можно было скачать документ без авторизации, а это позволяет злоумышленнику проводить атаку прямым перебором для получения всех выданных документов или документы конкретного человека по его ИИН. В итоге все выдаваемые «Электронным правительством» документы, независимо от точки обработки запроса (дома за собственным компьютером, в центре обслуживания населения, мобильное устройство) были доступны для третьих лиц.