Государственная техническая служба

Национальным координационным центром информационной безопасности была зафиксирована уязвимость, несущая потенциальные риски несанкционированного доступа к конфиденциальной информации следующего типа: CWE-530: Exposure of Backup File to an Unauthorized Control Sphere.

В ходе мониторинга на интернет-ресурсе казахстанского банка второго уровня обнаружен файл резервной копии (архив размером 500 мб., доступный для скачивания неавторизованным пользователям), содержащий исходный код веб-приложения.

В резервной копии были обнаружены файлы с информацией клиентов и сотрудников банка:

• 9 файлов, в которых содержалось 138,5 тыс. записей (ФИО, телефон, продукт, событие, филиал, отделение, агент, дата получения);
• 1 файл, в котором содержалось 11,9 тыс. записей (ФИО, имя пользователя, адрес эл. почты, пароль, должность, отделение и т.д.);
• файл data.csv, в котором содержалось 835 записей (ФИО, дата рождения, номер телефона, пароль, отделение и т.д.).

Также в ходе анализа исходного кода были обнаружены вшитые учетные данные от БД, почты, LDAP и т. д.

Использование полученных учетных данных позволило получить доступ к VPN, а также к внутренним сервисам банка.

Возможные риски

Получение несанкционированного доступа к персональным данным клиентов и сотрудников, а также к внутренним сервисам банка.

Устранение

Необходимо ограничить доступ к файлу резервной копии неавторизованным пользователям.