Қазақстандық банктердің бірінің ішкі қызметтерінің құпия сөздері жалпыға қолжетімді болды. Бұл туралы Мемлекеттік техникалық қызмет (МТҚ) хабарлады.
Интернеттің қазақстандық сегментіне мониторинг жүргізу барысында МТҚ мамандары қазақстандық екінші деңгейлі банктердің бірінің интернет-ресурсындағы осалдықты анықтады. Біз CWE-530 туралы айтып отырмыз - веб-қосымшаның файлдарының сақтық көшірмелері (бэкап) рұқсатсыз кіру үшін ашық қалғанда пайда болатын осалдық.
«МТҚ мамандары рұқсат етілмеген пайдаланушылар жүктеп алуға болатын, веб-қосымшаның бастапқы кодын қамтитын сақтық көшірме файлын тапты. Сақтық көшірме файлында клиенттер мен банк қызметкерлерінің жеке мәліметтері, атап айтқанда 11 файл, оның ішінде кіруге рұқсат беретін құпия сөздері бар (VPN) банк қызметкерлері туралы ақпарат болған», - деп хабарлады мекеме.
Техникалық тұрғыдан алғанда, бұл деректерді пайдалана отырып, банктің ішкі жүйесіне қашықтан қосылуға және өз бетінше төлем жасауға, қаржылық жүйелерге қол жеткізуге немесе клиенттердің төлем деректемелерін өзгертуге болады, деп түсіндірді МТҚ.
Бүгінгі таңда осалдық түзетілді. Осыған қарамастан, Мемлекеттік техникалық қызмет екінші деңгейлі банктер мен қаржы институттарына рұқсат етілмеген пайдаланушылардың сақтық көшірме файлдарына қол жеткізуді шектеуді ұсынды.
Техникалық мәліметтермен STS.KZ сайтында «Ұсыныстар» бөлімінде танысуға болады.