11 Янв 2016, 08:27

Защищает ли ваши персональные данные Электронное правительство (www.egov.kz)?

Большое количество пользователей Казнета уже давно использует удобный портал egov.kz для получения онлайн услуг. Полагаясь на квалификацию разработчиков портала, пользователи указывают свои данные, в частности номера мобильного телефона, для пользования «мобильным правительством» (если вами не указан номер телефона, то при каждой авторизации сайт настойчиво просит его указать).

[Скрин 1]

После указания номера телефона ваши данные с этого момента находятся под угрозой. Узнать ваш номер телефона зная только ФИО не составит труда, и для этого даже не нужно взламывать сам портал.

Итак, предположим, что злоумышленник хочет узнать номер телефона определенного человека и использовать его в своих целях. Что для этого нужно.

ШАГ 1.

Злоумышленник знает только ФИО человека.

Для того, чтобы получить его ИИН достаточно обратиться к сервису «Поиск налогоплательщиков» на сайте комитета государственных доходов.

http://kgd.gov.kz/ru/services/taxpayer_search

Заполнив поле Фамилия и Имя человека получаем ИИН. Тестирование проводилось на одном из членов команды, поэтому его персональные данные мы скрыли. В оригинале показывается полный номер ИИН-а.

[Скрин 2]

ШАГ 2.

Переходим на один из разделов электронного правительства, а именно «Официальная блог-платформа»

http://blogs.egov.kz/ru/site

и далее в подраздел «Подать обращение» http://blogs.egov.kz/ru/questions/agreement/

Нажимаем кнопку «Далее» и переходим на страницу, где просят ввести ИИН. Вводим ИИН интересующего человека, который мы нашли ранее через модуль Комитета государственных доходов.

Заполняем обязательные поля любыми данными.

[Скрин 3]

ШАГ 3.

После того как мы нажали на кнопку «Далее» мы переходим на страницу, и одновременно с этим получаем сообщение об отправке смс с секретным кодом. В этот момент на мобильный телефон атакуемого человека отправляется смс сообщение.

Теперь дело за малым, в исходном коде текущей страницы нужно найти номер мобильного телефона, который отображается в открытом виде (Правой кнопкой мышью -> Просмотреть код).

[Скрин 4]

Таким образом, зная ФИО человека мы можем узнать его номер телефона, если он его указывал в своем личном кабинете Электронного правительства. При этом как вы должны были заметить взлома системы не было. Данные о номере телефона хранятся в открытом виде.

Как злоумышленники могут воспользоваться данной недоработкой разработчиков портала?

Данная уязвимость позволяет узнать номера понравившейся девушки или интересующего высокопоставленного чиновника. Можно пойти дальше, написать программу, которая по списку ИИН Казахстанцев будет собирать номера телефонов. Во время презентации в ЕНУ мы получили в качестве примера номер личного телефона одного из присутствовавшего в зале.

Данную недоработку разработчиков портала мы демонстрировали перед публикой на международно-практической конференции по ИБ в ЕНУ осенью прошлого года. На ней присутствовали представители Электронного правительства, которые сообщили, что они знают про эту «фичу» уже больше года (Они не считают ее уязвимостью).

Вывод: Получая персональные данные, организация обязана отвечать за конфиденциальность этих самых данных. В данном случае мы видим, что главная информационная система Республики Казахстан, в которой хранится информация о всех граждан, не защищает наши персональные данные. Более того, в данном конкретном случае, был проведен лишь поверхностный анализ, который не может показать всех проблем портала. Полноценный независимый пентест, мы уверены, вскроет и более серьезные уязвимости. На данный момент проверку портала Электронного правительства осуществляют сами же разработчики и, что совсем не удивительно рапортуют о положительных тестах. При этом, насколько нам известно на проверку основных 6 государственных порталов затрачивается около 50 млн. тенге ежегодно, и при всем при этом имеются элементарные ошибки в разработке.