Личные данные клиентов и сотрудников казахстанского банка оказались в открытом доступе
Резервные копии файлов веб-приложения были открытыми для несанкционированного доступа.
Персональные данные клиентов и сотрудников одного из казахстанских банков оказались в открытом доступе. Об этом сообщает АО «Государственная техническая служба», передает корреспондент Total.kz.
В процессе мониторинга казахстанского сегмента интернета специалистами ГТС была обнаружена уязвимость на интернет-ресурсе одного из казахстанских банков второго уровня. CWE-530 — уязвимость, которая возникает, когда резервные копии файлов (бэкап) веб-приложения остаются открытыми для несанкционированного доступа.
«Специалисты АО «ГТС» обнаружили бэкап-файл (доступный для скачивания неавторизованным пользователям), содержащий исходный код веб-приложения. Бэкап-файл содержал персональную информацию клиентов и сотрудников банка, а именно: 11 файлов, среди которых находилась информация о сотрудниках банка с паролями от доступа к VPN. Технически, используя эти данные, можно было удаленно подсоединиться к внутренней системе банка и самостоятельно провести платеж, получить доступ к финансовым системам либо подменить платежные реквизиты клиентов», — сообщили в ГТС, отметив при этом, что на сегодняшний день уязвимость устранена.
В ГТС рекомендуют банкам второго уровня и финансовым организациям ограничить доступ к бэкап-файлам неавторизованным пользователям.