Відкритий Server-status в Електронному уряді Казахстану або як отримати базу даних громадян

Раніше ми повідомляли про уразливості на порталі «Електронного уряду» Казахстану, причинами яких були помилки розробників. Нині ж хочемо розповісти про одного уразливості, причиною якої стали не розробники, а швидше адміністратори. Одна незначна деталь, яка може призвести до колосальних наслідків і повторення ситуації з турецькими громадянами, коли в мережі була викладена вся база турецького населення.

Помилка, описана в цій статті, нами була передана розробникам ЕП і виправлена, відповідно експлуатація уразливості вже неможлива. З урахуванням зазначеного, вважаємо дана публікація не спричинить витік чиїхось персональних даних. Але ми не можемо гарантувати того, що документи наших громадян вже не були отримані зловмисниками і не збережені для яких-небудь дії.

Отже, на порталі електронного уряду, при запиті тієї чи іншої довідки, користувач отримує пряме посилання на документ у форматі *.PDF, яка виглядає приблизно так:

http://egov.kz/shepDownloadPdf?favorId(номер документа)&iin=(номер ІІН)


Помилка адмінів полягає в загальній доступності Server-Status, що в свою чергу розкриває всі передаються запити GET (показано на малюнку нижче).



Далі ще цікавіше. По прямой ссылке можна було завантажити документ без авторизації, а це дозволяє зловмисникові проводити атаку прямим перебором для отримання всіх виданих документів, або документи конкретної людини з його ІІН. У підсумку, все видаються електронним урядом документи, незалежно від точки обробки запиту (вдома за власним комп'ютером, Центрі обслуговування населення, мобільний пристрій) були доступні для третіх осіб.

Отже, використовуючи незначну помилку, яку багато хто помилково вважають такою, можна провести масштабну атаку по крадіжці документів. Все, що для цього потрібно – трохи вільного часу і простий скрипт для автоматизації процесу.

Був написаний невеликий лічильник для аналізу, який показав, що існувала можливість викачати більш 50 000 документів (або близько 10GB) громадян Республіки Казахстан за тижневий термін. А це не тільки нешкідливі адресні довідки громадян, але і різні документи з чутливою інформацією, такі як довідки про наявність нерухомого майна.

Ось так «незначна» уразливість із-за некоректної установки адміністратора може спричинити за собою злив бази даних громадян.

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.