Центр Анализа и расследования кибератак обнаружил на портале уязвимость, пишет Computerworld.kz.

По сообщению президента «ЦАРКА» Олжаса Сатиева, при запросе справки на портале электронного правительства пользователь получает прямую ссылку на документ в формате *.PDF.

Ошибка админов состоит в общей доступности Server-Status, что в свою очередь раскрывает все передаваемые запросы. По прямой ссылке можно было скачать документ без авторизации, что позволяет злоумышленнику выполнить атаку прямым перебором, чтобы получить все выданные документы или документы конкретного человека по его ИИН. 

В итоге все выдаваемые электронным правительством документы были доступны для третьих лиц. Ошибка была передана в АО «НИТ» и исправлена, соответственно, эксплуатация данного способа уязвимости уже невозможна. Но существует риск, что злоумышленники успели организовать утечку персональных граждан до того, как «заплатка» была поставлена.