23:03, 14 марта 2016

Электронное правительство без права на ошибку

Защищает ли ваши персональные данные Электронное правительство (www.egov.kz)?

Большое количество пользователей Казнета уже давно использует удобный портал egov.kz для получения онлайн услуг. Полагаясь на квалификацию разработчиков портала, пользователи указывают свои данные, в частности номера мобильного телефона, для пользования «мобильным правительством» (если вами не указан номер телефона, то при каждой авторизации сайт настойчиво просит его указать).

После указания номера телефона ваши данные с этого момента находятся под угрозой. Узнать ваш номер телефона зная только ФИО не составит труда, и для этого даже не нужно взламывать сам портал..

Таким образом, зная ФИО человека мы можем узнать его номер телефона, если он его указывал в своем личном кабинете Электронного правительства. При этом как вы должны были заметить взлома системы не было. Данные о номере телефона хранятся в открытом виде.

Как злоумышленники могут воспользоваться данной недоработкой разработчиков портала?

Данная уязвимость позволяет узнать номера понравившейся девушки или интересующего высокопоставленного чиновника. Можно пойти дальше, написать программу, которая по списку ИИН Казахстанцев будет собирать номера телефонов. Во время презентации в ЕНУ мы получили в качестве примера номер личного телефона одного из сотрудников Администрации Президента, присутствовавшего в зале.

Данную недоработку разработчиков портала демонстрировали перед публикой на международно-практической конференции по ИБ в ЕНУ осенью прошлого года. На ней присутствовали представители Электронного правительства, которые сообщили, что они знают про эту «фичу» уже больше года (Они не считают ее уязвимостью).

Вывод: Получая персональные данные, организация обязана отвечать за конфиденциальность этих самых данных. В данном случае мы видим, что главная информационная система Республики Казахстан, в которой хранится информация о всех граждан, не защищает наши персональные данные. Более того, в данном конкретном случае, был проведен лишь поверхностный анализ, который не может показать всех проблем портала. Полноценный независимый пентест вскроет и более серьезные уязвимости. На данный момент проверку портала Электронного правительства осуществляют сами же разработчики и, что совсем не удивительно рапортуют о положительных тестах. При этом, насколько нам известно на проверку основных 6 государственных порталов затрачивается около 50 млн. тенге ежегодно, и при всем при этом имеются элементарные ошибки в разработке.

Еще по теме