Қазақстандық банктердің бірінің ішкі сервистеріне парольдер ашық қол жетімділікте болды

 «Мемлекеттік техникалық қызмет» АҚ қызметкерлері осы сияқты жағдайдың жолын кесті. Қазақстандық Интернетке мониторинг жүргізу процесінде «МТҚ» АҚ мамандары Қазақстанның екінші деңгейдегі банктерінің бірінің интернет-ресурсында осалдықты анықтады.

CWE-530 – веб-қосымша файлдарының резервтік көшірмелері (бэкап) рұқсатсыз қол жеткізу үшін ашық қалған кезде пайда болатын осалдық.

«МТҚ» АҚ мамандары веб-қосымшаның бастапқы кодын қамтитын бэкап файлды (авторланбаған пайдаланушылар жүктей алуы үшін қолжетімді) анықтады. Бэкап файлда клиенттер мен банк қызметкерлерінің жеке ақпараты болды, атап айтқанда: ішінде VPN-ге қол жеткізу парольдері бар банк қызметкерлері туралы ақпарат қамтылған 11 файл. Техникалық тұрғыдан осы деректерді пайдалана отырып, банктің ішкі жүйесіне қашықтан қосылуға, өз бетінше төлем жүргізуге, қаржы жүйелеріне қол жеткізуге немесе клиенттердің төлем деректемелерін ауыстыруға болатын еді.

Банк секторына жасалған шабуылдар – бұл құпия ақпараттың таралып кетуіне, деректердің, ақшалай қаражаттардың жоғалуына, банк жүйелерінің бұзылуына әкеп соғатын үлкен қауіп. Зиянкес желіге қызметкердің қорғалмаған жұмыс станциясы, ескірген бағдарламалық қамтылым немесе қашықтан қол жеткізу құралдары арқылы еніп, деректерге қол жеткізе алады.