26.04.2023

Басты бет / Қазақстандық банктердің бірінің ішкі сервистеріне парольдер ашық қолжетімділікте болды – ТЕХНИКАЛЫҚ ТҰСТАРЫ

Қазақстандық банктердің бірінің ішкі сервистеріне парольдер ашық қолжетімділікте болды – ТЕХНИКАЛЫҚ ТҰСТАРЫ

Ақпараттық қауіпсіздіктің ұлттық үйлестіру орталығы құпия ақпаратқа рұқсатсыз қол жеткізудің ықтимал тәуекелдерін тудыратын CWE-530: Exposure of Backup File to an Unauthorized Control Sphere осалдығын тіркеді.

Мониторинг жүргізу барысында Қазақстандық екінші деңгейдегі банктің интернет-ресурсында веб-қосымшаның бастапқы коды бар резервтік көшірменің файлы (авторланбаған пайдаланушыларға жүктеу үшін қолжетімді көлемі 500 мб. архив) анықталды.

Резервтік көшірмеде клиенттер мен банк қызметкерлерінің ақпараты болған файлдар:

  • 138,5 мың жазбасы (ТАӘ, телефон, өнім, оқиға, филиал, бөлімше, агент, алу күні) болған 9 файл;
  • 11,9 мың жазбасы (ТАӘ, пайдаланушының аты, электрондық пошта мекенжайы, пароль, лауазымы, бөлімше және т.б.) болған 1 файл;
  • 835 жазбасы (ТАӘ, туған күні, телефон нөмірі, пароль, бөлімше және т.б.) болған data.csv файлы анықталды.

Сондай-ақ, бастапқы кодты талдау барысында ДБ, поштаның, LDAP және т.б. бастапқы кодқа кіріктірілген есептік деректері анықталды.

1-сурет. LDAP есептік деректері

Алынған есептік деректерді пайдалану VPN-ге және соның салдарынан банктің ішкі қызметтеріне қол жеткізуге мүмкіндік берді.

Ықтимал тәуекелдер

Клиенттер мен банк қызметкерлерінің дербес ақпаратына, сондай-ақ банктің ішкі қызметтеріне рұқсатсыз қол жеткізу;

Проблеманы жою

Авторланбаған пайдаланушыларға резервтік көшірме файлдарына қолжетімділікті шектеу қажет.

Соңғы жаңалықтар

«ГТС» АҚ сарапшылары «Cyber and Digital Security 2024» форумына қатысты Қазақстан Халықаралық киберкеңістіктегі өз позициясын нығайтуда «Мемлекеттік техникалық қызмет» АҚ мен Әзірбайжанның Арнайы байланыс және ақпараттық қауіпсіздік қызметі

Санаттар

Жаңалықтар Бос орындар