Перейти к основному содержанию
 
  • CERT.KZ
  • СОТРУДНИЧЕСТВО
  • КОНТАКТЫ
  • ПОДПИСКА

Форма поиска

 
11 Янв 2016, 08:27

Защищает ли ваши персональные данные Электронное правительство (www.egov.kz)?

Большое количество пользователей Казнета уже давно использует удобный портал egov.kz для получения онлайн услуг. Полагаясь на квалификацию разработчиков портала, пользователи указывают свои данные, в частности номера мобильного телефона, для пользования «мобильным правительством» (если вами не указан номер телефона, то при каждой авторизации сайт настойчиво просит его указать).

[Скрин 1]

После указания номера телефона ваши данные с этого момента находятся под угрозой. Узнать ваш номер телефона  зная только ФИО не составит труда, и для этого даже не нужно взламывать сам портал.

Итак, предположим, что злоумышленник хочет узнать номер телефона определенного человека и использовать его в своих целях. Что для этого нужно.

ШАГ 1.

Злоумышленник знает только ФИО человека.

Для того, чтобы получить его ИИН достаточно обратиться к сервису «Поиск налогоплательщиков» на сайте комитета государственных доходов.

http://kgd.gov.kz/ru/services/taxpayer_search

Заполнив поле Фамилия и Имя человека получаем ИИН. Тестирование проводилось на одном из членов команды, поэтому его персональные данные мы скрыли. В оригинале показывается полный номер ИИН-а.

[Скрин 2]

 

ШАГ 2.

Переходим на один из разделов электронного правительства, а именно «Официальная блог-платформа»

http://blogs.egov.kz/ru/site

и далее в подраздел «Подать обращение» http://blogs.egov.kz/ru/questions/agreement/

Нажимаем кнопку «Далее» и переходим на страницу, где просят ввести ИИН. Вводим ИИН интересующего человека, который мы нашли ранее через модуль Комитета государственных доходов.

Заполняем обязательные поля любыми данными.

[Скрин 3]

ШАГ 3.

После того как мы нажали на кнопку «Далее» мы переходим на страницу, и одновременно с этим получаем сообщение об отправке смс с секретным кодом. В этот момент на мобильный телефон атакуемого человека отправляется смс сообщение.

Теперь дело за малым, в исходном коде текущей страницы нужно найти номер мобильного телефона, который отображается в открытом виде (Правой кнопкой мышью -> Просмотреть код).

[Скрин 4]

Таким образом, зная ФИО человека мы можем узнать его номер телефона, если он его указывал в своем личном кабинете Электронного правительства. При этом как вы должны были заметить взлома системы не было. Данные о номере телефона хранятся в открытом виде.

Как злоумышленники могут воспользоваться данной недоработкой разработчиков портала?

Данная уязвимость позволяет узнать номера понравившейся девушки или интересующего высокопоставленного чиновника. Можно пойти дальше, написать программу, которая по списку ИИН Казахстанцев будет собирать номера телефонов. Во время презентации в ЕНУ мы получили в качестве примера номер личного телефона одного из присутствовавшего в зале.

Данную недоработку разработчиков портала мы демонстрировали перед публикой на международно-практической конференции по ИБ в ЕНУ осенью прошлого года. На ней присутствовали представители Электронного правительства, которые сообщили, что они знают про эту «фичу» уже больше года (Они не считают ее уязвимостью).

Вывод: Получая персональные данные, организация обязана отвечать за конфиденциальность этих самых данных. В данном случае мы видим, что главная информационная система Республики Казахстан, в которой хранится информация о всех граждан, не защищает наши персональные данные. Более того, в данном конкретном случае, был проведен лишь поверхностный анализ, который не может показать всех проблем портала. Полноценный независимый пентест, мы уверены, вскроет и более серьезные уязвимости. На данный момент проверку портала Электронного правительства осуществляют сами же разработчики и, что совсем не удивительно рапортуют о положительных тестах. При этом, насколько нам известно на проверку основных 6 государственных порталов затрачивается около 50 млн. тенге ежегодно, и при всем при этом имеются элементарные ошибки в разработке.

Share:
06 Авг 2019
НАЦИОНАЛЬНЫЙ СЕРТИФИКАТ ОТМЕНЯЕТСЯ
29 Июл 2019
ЦАРКА провела первые, неформальные, переговоры с представителями Комитета информационной безопасности Министерства и Государственной технической службы КНБ
Мы провели первые, неформальные, переговоры с представителями Комитета информационной безопасности Министерства и Государственной технической службы КНБ.
22 Апр 2019
Вопросы лицензирования деятельности в сфере ИБ

Почитать по теме:

08 Дек 2017
Хакеры нашли способ зарабатывать на анонимности
Экспертом Центра анализа и расследования кибератак (ЦАРКА) Максимом Ефименко обнаружен новый способ, который используют майнеры криптовалют для запуска майнинговых скриптов на машинах пользователей.
23 Апр 2017
Сайт министерства обороны РК подвергся дефейсу.
Сайт министерства обороны РК подвергся дефейсу. В настоящее время сайт отключен, но доступна копия взломанной главной страницы через кеш Яндекса.
10 Окт 2016
Казахстан создает регулятора в области кибербезопасности
Казахстан, кибербезопасность
Новое казахстанское министерство стало первым в регионе госорганом такого уровня, к компетенции которого отнесено обеспечение информационной безопасности.
22 Апр 2019
АРГУМЕНТЫ ПРОТИВ БЛОКИРОВКИ TELEGRAM В КАЗАХСТАНЕ
живителеграмм дуроввернистену
ВВЕДЕНИЕ Дело зашло слишком далеко и деятельность беглого банкира коснулась самого святого для нас – Telegram. По нашему мнению, блокировка основного средства коммуникации айтишников, негативно отразится на отрасли и помешает прогрессу. Telegram плотно вошел в нашу повседневную жизнь и отказ от него будет болезненным для нас.

ЦАРКА (Центр анализа и расследование кибер атак). Служба реагирования на компьютерные инциденты | 2017

  • Қаз
  • Рус
  • Eng

Служба реагирования
на компьютерные
инциденты

 Сообщить об инциденте

  • Последнее
  • Новости
  • Блоги
  • Интервью
  • События
  • Законодательство
Закрыть
Сообщить об инциденте
Share: