Электронное правительство не защищает персональные данные казахстанцев

Казахстанцы давно используют портал электронного правительства egov.kz для получения онлайн-услуг. Команда «Центра Анализа и расследования кибер атак» решила выяснить, насколько уязвимы персональные данные пользователей и провела небольшой эксперимент, результаты которого невероятно удивили специалистов. Оказывается, зная всего лишь фамилию, имя и отчество человека, можно узнать всю его подноготную!

Полагаясь на квалификацию разработчиков портала, пользователи указывают свои данные, в частности номера мобильного телефона, для пользования «мобильным правительством» (если вами не указан номер телефона, то при каждой авторизации сайт настойчиво просит его указать)

После указания номера телефона ваши данные с этого момента находятся под угрозой. Узнать ваш номер телефона, зная только ФИО, не составит труда, и для этого даже не нужно взламывать сам портал.

Итак, предположим, что злоумышленник хочет узнать номер телефона определенного человека и использовать его в своих целях. Что для этого нужно.

ШАГ 1.

Злоумышленник знает только ФИО человека.

Для того, чтобы получить его ИИН, достаточно обратиться к сервису «Поиск налогоплательщиков» на сайте комитета государственных доходов.

http://kgd.gov.kz/ru/services/taxpayer_search

Заполнив поле "Фамилия и Имя человека", получаем ИИН. Тестирование проводилось на одном из членов команды, поэтому его персональные данные мы скрыли. В оригинале показывается полный номер ИИН-а.

Журналисты NUR.KZ узнали таким образом ИИН одного из своих сотрудников.

ШАГ 2.

Переходим на один из разделов электронного правительства, а именно «Официальная блог-платформа»

http://blogs.egov.kz/ru/site

и далее в подраздел «Подать обращение» http://blogs.egov.kz/ru/questions/agreement/

Нажимаем кнопку «Далее» и переходим на страницу, где просят ввести ИИН. Вводим ИИН интересующего человека, который мы нашли ранее через модуль Комитета государственных доходов.

Заполняем обязательные поля любыми данными.

ШАГ 3.

После того как мы нажали на кнопку «Далее» мы переходим на страницу, и одновременно с этим получаем сообщение об отправке смс с секретным кодом. В этот момент на мобильный телефон атакуемого человека отправляется смс-сообщение.

Теперь дело за малым, в исходном коде текущей страницы нужно найти номер мобильного телефона, который отображается в открытом виде (Правой кнопкой мышью -> Просмотреть код).

Журналисты NUR.KZ проверили и эту информацию, в данный момент, вероятнее всего, этот баг исправили.

Таким образом, зная ФИО человека, мы можем узнать его номер телефона, если он его указывал в своем личном кабинете Электронного правительства. При этом, как вы должны были заметить, взлома системы не было. Данные о номере телефона хранятся в открытом виде.

Как злоумышленники могут воспользоваться данной недоработкой разработчиков портала?

Данная уязвимость позволяет узнать номера понравившейся девушки или интересующего высокопоставленного чиновника. Можно пойти дальше, написать программу, которая по списку ИИН казахстанцев будет собирать номера телефонов. Во время презентации в ЕНУ мы получили в качестве примера номер личного телефона одного из сотрудников Администрации Президента, присутствовавшего в зале.

Данную недоработку разработчиков портала мы демонстрировали перед публикой на международно-практической конференции по ИБ в ЕНУ осенью прошлого года. На ней присутствовали представители Электронного правительства, которые сообщили, что они знают про эту «фичу» уже больше года (они не считают ее уязвимостью).

Как оказалось, на портале электронного правительства просто зайдя под своей учетной записью и зная ИИН любого человека, можно узнать его налоговые задолжности, штрафы и, вероятно, некоторую другую личную информацию.

Вывод: Получая персональные данные, организация обязана отвечать за конфиденциальность этих самых данных. В данном случае мы видим, что главная информационная система Республики Казахстан, в которой хранится информация о всех граждан, не защищает наши персональные данные. Более того, в данном конкретном случае, был проведен лишь поверхностный анализ, который не может показать всех проблем портала. Полноценный независимый пентест, мы уверены, вскроет и более серьезные уязвимости.

На данный момент проверку портала Электронного правительства осуществляют сами же разработчики и, что совсем не удивительно, рапортуют о положительных тестах. При этом, насколько нам известно, на проверку основных 6 государственных порталов затрачивается около 50 млн. тенге ежегодно, и при всем при этом имеются элементарные ошибки в разработке.