На сайте eGov устранили уязвимость

Председатель правления АО «Национальные информационные технологии» Руслан Енсебаев сообщил, что проблема, связанная с хранением номеров телефонов казахстанцев в открытом виде на сайте электронного правительства, была устранена.

Ранее в социальных сетях появилась информация о том, что на одном из разделов eGov (Официальная блог-платформа) при вводе ИИН граждан в подразделе «Подать сообщение» в исходном коде страницы можно найти номер мобильного телефона, который отображается в открытом виде. Эта уязвимость была выявлена представителями Центра анализа и расследования кибер-атак (ЦАРКА).

Глава АО «НИТ» заявил об устранении проблемы: «Учитывая замечания, мы исключили возможность передачи номера телефона в открытом виде. Вместе с тем, хочу подчеркнуть, что знание телефонного номера другого человека не предоставляет возможность получать персональную информацию о ком-то. Персональную информацию на портале электронного правительства, например, сведения о наличии имущества или адрес прописки, можно получить только на себя, имея электронную подпись».

Однако представители ЦАРКА, выявив проблему, указали, что недоработки разработчиков портала весьма серьезны: «Данная уязвимость позволяет узнать номера понравившейся девушки или интересующего высокопоставленного чиновника. Можно пойти дальше, написать программу, которая по списку ИИН казахстанцев будет собирать номера телефонов. Данную недоработку мы демонстрировали перед публикой на международно-практической конференции по ИБ в ЕНУ осенью прошлого года. На ней присутствовали представители Электронного правительства, которые сообщили, что они знают про эту „фичу“ уже больше года (они не считают ее уязвимостью). Вывод: получая персональные данные, организация обязана отвечать за конфиденциальность этих самых данных. В данном случае мы видим, что главная информационная система Республики Казахстан, в которой хранится информация обо всех гражданах, не защищает наши персональные данные».