Қазақстандық банктердің бірінің ішкі сервистеріне парольдер ашық қолжетімділікте болды – ТЕХНИКАЛЫҚ ТҰСТАРЫ
Ақпараттық қауіпсіздіктің ұлттық үйлестіру орталығы құпия ақпаратқа рұқсатсыз қол жеткізудің ықтимал тәуекелдерін тудыратын CWE-530: Exposure of Backup File to an Unauthorized Control Sphere осалдығын тіркеді.
Мониторинг жүргізу барысында Қазақстандық екінші деңгейдегі банктің интернет-ресурсында веб-қосымшаның бастапқы коды бар резервтік көшірменің файлы (авторланбаған пайдаланушыларға жүктеу үшін қолжетімді көлемі 500 мб. архив) анықталды.
Резервтік көшірмеде клиенттер мен банк қызметкерлерінің ақпараты болған файлдар:
- 138,5 мың жазбасы (ТАӘ, телефон, өнім, оқиға, филиал, бөлімше, агент, алу күні) болған 9 файл;
- 11,9 мың жазбасы (ТАӘ, пайдаланушының аты, электрондық пошта мекенжайы, пароль, лауазымы, бөлімше және т.б.) болған 1 файл;
- 835 жазбасы (ТАӘ, туған күні, телефон нөмірі, пароль, бөлімше және т.б.) болған data.csv файлы анықталды.
Сондай-ақ, бастапқы кодты талдау барысында ДБ, поштаның, LDAP және т.б. бастапқы кодқа кіріктірілген есептік деректері анықталды.
1-сурет. LDAP есептік деректері
Алынған есептік деректерді пайдалану VPN-ге және соның салдарынан банктің ішкі қызметтеріне қол жеткізуге мүмкіндік берді.
Ықтимал тәуекелдер
Клиенттер мен банк қызметкерлерінің дербес ақпаратына, сондай-ақ банктің ішкі қызметтеріне рұқсатсыз қол жеткізу;
Проблеманы жою
Авторланбаған пайдаланушыларға резервтік көшірме файлдарына қолжетімділікті шектеу қажет.