Хочу рассказать об одной уязвимости на нашем egov.kz.
В 2021 году в рамках проведения интеграций выявил, что данные касательно оружия, перевозки взрывчатых веществ лежат в открытом доступе.
Если вкратце,
1) любой человек мог бы скачать документы у кого, где и какое оружие хранится.
Вот такие вот бумажки:
Доступные данные: Какое оружие, ну и адрес где оно хранится.
Хочу заметить, что был доступен список не только физлиц, но и также всяких юрлиц, типа охранных организаций, тиров и т.д.
2) Ну и для примера, еще были такие документы:
Ну надеюсь этот мерседес с взрывчаткой и детонаторами там больше не проезжает.
Наверное не нужно объяснять абсурдность выставления этих данных на всеобщее обозрение. Также хочу сказать, кажется до сентября 2021 года, если ты получил эти данные, то это было законно. Нормативку поменяли позже, а как вы знаете закон обратной силы не имеет.
Как это все потом закрыли
Вообще это было первое официальное взаимодейтсвие с КИБ. После написания письма туда, я две недели наблюдал как его туда сюда футболили. Прошло время, я даже забыл про это. Ну ладно, если им нет интереса, то мне какое дело. После на одном мероприятии встретился со своим хорошим знакомым из силовых ведомств. Там у него был выход на людей то ли из КНБ, то ли из ГТС. Хватило одного звонка, и только на следующий день, после обеда ко мне позвонили с КИБа с претензией, что данные указанные в письме были неверны. Пришлось ответить, ну если так считаете, у меня вопросов нет. Потом через некоторое время, не сразу, а через несколько недель, все-таки данные скрыли в рамках изменения нормативки.
Почему сейчас поднимаю эту тему
На прошлой неделе был в Алматы. Меня попросили посмотреть данные с одного госсайта, и там тоже грубые ошибки по безопасности. Я уверен, что и эта система, да и весь егов проходил у нас аттестацию по ИБ от ГТС, но все равно есть моменты по безопасности. И относительно грубые. Ну если бы такие проблемы были на какой-нибудь частной системе, то наказание было бы моментальным. Думаю, что после переписки с КИБом, озвучу ошибку.
К чему все это - прохождение аттестации/тестирования на ИБ, не всегда обеспечивает ИБ. ИБ - это постоянный процесс, ответственность каждого. Не только разработчиков, админов, девопсов. Это ответственность - аналитиков, службы кадров, бухгалтерии, даже людей, которые делают уборку. Тестирование на ИБ от сертифицированных лабораторий может выявить какие-то стандартные вещи, а нестандартные - они не выявляемы.
PS
Ну и если кому-то интересно, само письмо. По тексту можно понять насколько все было открыто.
Top comments (0)