Национальная платформа поиска уязвимостей TUMAR.ONE (входит в TSARKA Group) информирует об обнаружении критической уязвимости в системе безопасности. Уязвимость была выявлена казахстанским исследователем безопасности и затрагивает десятки веб-ресурсов Республики Казахстан.
Национальная платформа поиска уязвимостей TUMAR.ONE (входит в TSARKA Group) сообщает об обнаружении критической уязвимости Security Misconfiguration. Уязвимость была обнаружена казахстанским исследователем безопасности sad2shade на десятках веб-ресурсов Республики Казахстан. Уязвимость возникает из-за отсутствия на стороне информационной системы (ресурса) необходимой верификации (проверки) входящего ЭЦП сертификата с серверами НУЦ РК.
Уязвимость была задекларирована исследователем в рамках национальной платформы БагБаунти, когда исследователи ищут уязвимости в согласованных для изучения информационных системах бизнеса и государства, легитимно находят их за вознаграждение и дают время на исправление ошибок. В рамках данной уязвимости, все владельцы платформ, где была обнаружена уязвимость, также были заблаговременно уведомлены.
Олжас Сатиев, основатель TSARKA Group, комментирует уязвимость: «Для проверки пользователя на сервер передается цифровая подпись, содержащая сертификат пользователя, он не проверяется должным образом на стороне сервера, что позволяет подделать определенные поля данных в сертификате (ИИН, ФИО, БИН, электронный адрес, совершить обход и получить доступ к личному кабинету клиента от имени любого пользователя (физического и юридического лица) при наличии ИИН и БИН. Важно понимать, что ответственность за эту проблему лежит в первую очередь на владельце или разработчике информационной системе, кто не учел данный вектор атаки».
Использование этой уязвимости позволяет злоумышленникам получить доступ к персональной и коммерческой информации и потенциально совершить некоторые действия от имени жертвы, в том числе имеющие юридическую силу (подписание документов), а также получить доступ к клиентам компании и управлять их аккаунтами. В ближайшее время TSARKA Group проведет открытый вебинар для СМИ и общественности, чтобы разобрать детали уязвимости, показать риски для пользователей и способы закрытия уязвимости. Также, на семинаре раскроют важность внедрения в информационные системы государства и бизнеса процессов безопасной разработки, повышения качества кода и системного подхода к безопасности цифровых продуктов и информационных систем, а также своевременного подключения к программам БагБаунти.
Новости Финтеха, ритейла и e-commerce в Центральной Азии