Казахстанские разработчики мобильных приложений могут попасть под угрозу
В условиях глобальной цифровизации в Казахстане становится всё больше профессиональных разработчиков мобильных приложений разных сферх электронных услуг. Но существуют угрозы и уязвимости, которые могут сопровождать весь процесс. Под удар попадают данные на серверах не только разработчиков, но и пользователей.
Одну из уязвимостей казахстанского сегмента интернета выявила Служба реагирования на компьютерные инциденты KZ-CERT АО «ГТС». В поисковой системе Google обнаружили поддомены, которые использовались в качестве системы управления версиями (GitLab). При открытии веб-страницы отображалась форма авторизации, где можно было ввести логин и пароль в привычном режиме.
Потенциальный злоумышленник, подставляя имена пользователей в адресную строку, с легкостью мог получить доступ с правами на чтение к файлам указанного пользователя, даже не имея пароля. В открытом виде была информация о текущих и планируемых проектах.
Основная проблема связана с небезопасным хранением данных. «Зеленый» свет для проведения кибератак дают незащищенные данные на снимках экрана, ключи и пароли в исходном коде.
Служба KZ-CERT выявила возможные риски подобной утечки, которые включали в себя: кражу исходного кода приложений мобильного банкинга, кражу SSL-сертификата одного из банков, атаку на инфраструктуру клиентов данных компаний, шпионаж с целью получения информации с серверов, удаление и дефейс доступных на сервере проектов и др.
В целях обеспечения безопасности данных отечественных производителей и невозможности перехода важной информации в распоряжение злоумышленников, Служба KZ-CERT своевременно направила обращение держателю ресурса с рекомендацией устранить выявленный инцидент.
Подписывайтесь на наш Telegram-канал и читайте новости первыми!