Пароли к внутренним сервисам одного из банков находились в открытом доступе. Название не сообщается

26.04.2023
pixabay

Пароли к внутренним сервисам одного из казахстанских банков находились в открытом доступе, сообщила Государственная техническая служба. Однако не уточнила, о каком банке идет речь.

В ходе мониторинга сотрудники АО «ГТС» обнаружили уязвимость на интернет-ресурсе одного из казахстанских банков. Эта уязвимость возникает, когда резервные копии файлов (бэкап) веб-приложения остаются открытыми для несанкционированного доступа.

Бэкап-файл содержал персональную информацию клиентов и сотрудников банка, а именно 11 файлов:

  • 9 файлов, в которых содержалось 138,5 тыс. записей (ФИО, телефон, продукт, событие, филиал, отделение, агент, дата получения)
  • один файл, в котором содержалось 11,9 тыс. записей (ФИО, имя пользователя, адрес эл. почты, пароль, должность, отделение и т.д.)
  • файл data.csv, в котором содержалось 835 записей (ФИО, дата рождения, номер телефона, пароль, отделение и т.д.).

«Технически, используя эти данные, можно было удаленно подсоединиться к внутренней системе банка и самостоятельно провести платеж, получить доступ к финансовым системам либо подменить платежные реквизиты клиентов», – сообщили в ГТС.

В Государственной технической службе сообщили, что на сегодняшний день уязвимость устранена, и рекомендовали банкам и финансовым организациям ограничить доступ к бэкап-файлам неавторизованным пользователям.