138,5 мың жазба: Қазақстандық банктің ішкі сервисіндегі кілтсөздер интернетке жарияланып кетті
Қазір осалдық қалпына келтірілді
Қазақстандық Интернетке мониторинг жүргізу процесінде Қазақстанның екінші деңгейдегі банктерінің бірінің интернет-ресурсында осалдықты анықтады. Бұл туралы ақпарат Мемлекеттік техникалық қызметтің ресми сайтында жарияланды.
CWE-530 – веб-қосымша файлдарының резервтік көшірмелері (бэкап) рұқсатсыз қол жеткізу үшін ашық қалған кезде пайда болатын осалдық.
Мемлекеттік техникалық қызмет мамандары веб-қосымшаның бастапқы кодын қамтитын бэкап файлды (авторланбаған пайдаланушылар жүктей алуы үшін қолжетімді) анықтады. Бэкап файлда клиенттер мен банк қызметкерлерінің жеке ақпараты болды, атап айтқанда: ішінде VPN-ге қол жеткізу парольдері бар банк қызметкерлері туралы ақпарат қамтылған 11 файл. Техникалық тұрғыдан осы деректерді пайдалана отырып, банктің ішкі жүйесіне қашықтан қосылуға, өз бетінше төлем жүргізуге, қаржы жүйелеріне қол жеткізуге немесе клиенттердің төлем деректемелерін ауыстыруға болатын еді.
Мониторинг барысында екінші деңгейлі қазақстандық банктің интернет-ресурсында веб-қосымшаның бастапқы кодын қамтитын резервтік файл (500 МБ мұрағат, рұқсат етілмеген пайдаланушылар жүктеп алуға болады) табылды.
Сақтық көшірмеде клиенттер мен банк қызметкерлерінің мәліметтері бар файлдар табылды:
- 138,5 мың жазбадан тұратын 9 файл (аты-жөні, телефон нөмірі, өнім, оқиға, филиал, бөлім, агент, келіп түскен күні);
- 11,9 мың жазбадан тұратын 1 файл (аты-жөні, пайдаланушы аты, электрондық пошта мекенжайы, пароль, лауазымы, бөлімі және т.б.);
- 835 жазбадан тұратын data.csv файлы (толық аты-жөні, туған күні, телефон нөмірі, құпия сөз, филиал және т.б.).
- Сондай-ақ, бастапқы кодты талдау кезінде деректер базасынан, поштадан, LDAP-дан және т.б.
Киберқылмыскерлердің басты мақсаты – қаражатты ұрлау немесе төлеп өтеуді алу мақсатында пайдаланушылардың деректерін алу немесе банктің инфрақұрылымына қол жеткізу екенін тағы да естеріңізге салғымыз келеді, – делінген хабарламада.
«Екінші деңгейдегі банктер мен қаржы ұйымдарына авторланбаған пайдаланушыларға бэкап файлдарға қолжетімділікті шектеуді ұсынамыз. Қазіргі таңда осалдық жойылды», – дейді Мемлекеттік техникалық қызмет.