Новости

В казахстанском банке пароли к внутренним сервисам находились в открытом доступе

кибербезопасность
В открытом доступе находилась информация о сотрудниках банка. Фото: Pixabay.com

Специалисты АО «Государственная техническая служба» обнаружили уязвимость интернет-ресурса одного из казахстанских банков второго уровня и предотвратили утечку персональных данных, сообщает пресс-служба ГТС.

Во время мониторинга был обнаружен бэкап файл (доступный для скачивания неавторизованным пользователям), который содержал исходный код веб-приложения.

В бэкап файле находились 11 файлов, среди которых была информация о сотрудниках банка с паролями от доступа к VPN.

Сотрудники ГТС предотвратили уязвимость CWE-530, возникающую в случае, когда резервные копии файлов (бэкап) веб-приложения остаются открытыми для несанкционированного доступа.

Как сообщили в ГТС, используя полученные данные, можно было удаленно подсоединиться к внутренней системе банка и провести платеж, получить доступ к финансовым системам или подменить платежные реквизиты клиентов.

В Государственной технической службе напомнили, главная задача киберпреступников – получить данные пользователей или доступ к инфраструктуре банка и похитить средства или получить выкуп.

«Атаки на банковский сектор – это серьезная угроза, которая может привести к утечке конфиденциальной информации, потере данных, денежных средств и нарушению работы банковских систем», – говорится в пресс-релизе.

В ГТС порекомендовали банкам второго уровня и финансовым организациям ограничить доступ к бэкап файлам неавторизованным пользователям.

Ранее сообщалось, что казахстанские банки совместно с мобильными операторами предупредили граждан о новом виде мошенничества. Теперь злоумышленники пытаются убедить казахстанцев перейти в WhatsApp или другой мессенджер. Мошенники уверяют, что у клиента пытаются похитить средства, и убеждают перевести их на «безопасный счет», после чего исчезают вместе с деньгами.

Напомним, в марте в Астане участились случаи обмана горожан от якобы сотрудников департамента юстиции. Согласно новой схеме, мошенники звонят людям, представляются судоисполнителями и требуют выплаты денег. С начала этого года уже поступило около 200 звонков от горожан, засомневавшихся в реальности сотрудников департамента юстиции.