[Скрин 1]
После указания номера телефона ваши данные с этого момента находятся под угрозой. Узнать ваш номер телефона зная только ФИО не составит труда, и для этого даже не нужно взламывать сам портал.
Итак, предположим, что злоумышленник хочет узнать номер телефона определенного человека и использовать его в своих целях. Что для этого нужно.
ШАГ 1.
Злоумышленник знает только ФИО человека.
Для того, чтобы получить его ИИН достаточно обратиться к сервису «Поиск налогоплательщиков» на сайте комитета государственных доходов.
kgd.gov.kz/ru/services/taxpayer_search
Заполнив поле Фамилия и Имя человека получаем ИИН. Тестирование проводилось на одном из членов команды, поэтому его персональные данные мы скрыли. В оригинале показывается полный номер ИИН-а.
[Скрин 2]
ШАГ 2.
Переходим на один из разделов электронного правительства, а именно «Официальная блог-платформа»
blogs.egov.kz/ru/site
и далее в подраздел «Подать обращение» blogs.egov.kz/ru/questions/agreement
Нажимаем кнопку «Далее» и переходим на страницу, где просят ввести ИИН. Вводим ИИН интересующего человека, который мы нашли ранее через модуль Комитета государственных доходов.
Заполняем обязательные поля любыми данными.
[Скрин 3]
ШАГ 3.
После того как мы нажали на кнопку «Далее» мы переходим на страницу, и одновременно с этим получаем сообщение об отправке смс с секретным кодом. В этот момент на мобильный телефон атакуемого человека отправляется смс сообщение.
Теперь дело за малым, в исходном коде текущей страницы нужно найти номер мобильного телефона, который отображается в открытом виде (Правой кнопкой мышью -> Просмотреть код).
[Скрин 4]
Таким образом, зная ФИО человека мы можем узнать его номер телефона, если он его указывал в своем личном кабинете Электронного правительства. При этом как вы должны были заметить взлома системы не было. Данные о номере телефона хранятся в открытом виде.
Как злоумышленники могут воспользоваться данной недоработкой разработчиков портала?
Данная уязвимость позволяет узнать номера понравившейся девушки или интересующего высокопоставленного чиновника. Можно пойти дальше, написать программу, которая по списку ИИН Казахстанцев будет собирать номера телефонов. Во время презентации на конференции в ЕНУ мы получили в качестве примера номер личного телефона одного присутствовавшего в зале.
Данную недоработку разработчиков портала мы демонстрировали перед публикой на международно-практической конференции по ИБ в ЕНУ осенью прошлого года. На ней присутствовали представители Электронного правительства, которые сообщили, что они знают про эту «фичу» уже больше года (Они не считают ее уязвимостью).
Спасибо за внимание.
«Центр анализа и расследования кибер атак» www.cybersec.kz
Комментарии (26)
gene4000
11.01.2016 18:35Там по имени можно узнать претензии банков, например. Все, что судебным исполнителям отправляют на задание (выполненные и не выполненные обязательства). Называется как-то рекламно-броско «проверь можешь ли ты выехать из страны».
thatsme
11.01.2016 20:26Это меньшая из бед. Я Вас всех порадую, приватные ключи абсолютно ВСЕМ раздают с одним и тем-же паролем. Пароль после этого на pki.gov.kz меняют единицы. Если у Вас Linux, то вы даже пароль поменять не сможете, т.к. загрузка ключа для входа в личный кабинет из файловой системы, занимает ровно столько времени, сколько у Вас есть памяти, после этого Java апплет умирает.
Пароль никто не меняет, потому что приватные ключи люди передают друг-другу, или каким-либо фирмам, которые осуществляют услуги по каким либо регистрационным, информационным делам которые можно сделать на портале egov.kz самостоятельно, без каких-либо посредников. Но это-же задуматься нужно…gene4000
11.01.2016 21:30Несколько лет назад пытался поменять пароль. У меня файл просто портится и всё. Несколько попыток на нескольких компьютерах приводили к одному результату — файл с ключем перестает работать, после смены пароля.
kafeman
11.01.2016 21:01+4780422xxxxx4. Может быть, 780422662334?
NFM
11.01.2016 21:08не понял вопроса
kafeman
11.01.2016 21:38+4Я человек простой. Вижу цифры, пытаюсь разобрать.
Hypuk
11.01.2016 22:47+3Последние 2 цифры — 0 и 1 (судя по другому скрину).
7-я цифра 3 для мужчин и 4 для женщин.kafeman
11.01.2016 23:43+3Да, ступил, не сравнил скриншоты. 5-ая и 6-ая точно 2, потому что все другие не имеют такой четкой полосы внизу. Также 2-ку видно на скриншоте с телефоном. Если поиграть с контрастностью, то видно, что 8-ая и 10-ая — одна и та же.
Выходит 7804223xyx01. Шрифт Arial, 11px.
Hypuk
11.01.2016 23:52+1Похоже что 780422302001
kafeman
12.01.2016 00:01+4Бинго.
Hypuk
12.01.2016 00:04+4Ooops… Я когда-то ходил на его лекции по математике :)
kafeman
12.01.2016 00:07+4Можете позвонить ему. Данные специально не пишу текстом, чтобы сюда не попали из Google.
NFM
12.01.2016 08:23Ребят, этот человек для проверки фичи был, ненадо светить его персональные данные =)
kafeman
12.01.2016 12:37+4Да, согласен, не очень хорошо получилось. Но на что еще вы могли рассчитывать, выложив сюда все ссылки, описав что куда вводить и дав нам аж 2 пикселя текста с провокационной припиской «Я»? По сути, сами сдали своего коллегу.
KokTiS
13.01.2016 15:20+1Ага, позвонить ему 22-го апреля и поздравить с тридцативосьмилетием (судя по ИИН)
NFM
12.01.2016 08:36+2Ваш преподаватель с нами ) Он эксперт по вопросам криптографии www.facebook.com/cyberseckz/photos/a.1675790765981995.1073741828.1674347306126341/1703895626504842/?type=3&theater
ZlodeiBaal
11.01.2016 23:34+2Помниться, в какой-то момент Навальный смог через nalog.ru вытащить то налоговые задолженности депутатов. В результате через день этот удобный сервис закрыли и вернули лишь через пол года где-то
evr1ka
12.01.2016 12:02По ИНН можно вытащить и номер удостоверения с датой регистрации.
А если подумать, то большего можно узнать с соц. сетей: чем живет человек, где был, бывает, кто в друзьях…ls1
12.01.2016 13:02+1А если подумать, то большего можно узнать с соц. сетей
Можно, только тема не про социалочки и не про ССЗБ выкладывающих в них свои персональные данные. Оператор ПД не должен так халатно относиться к защите этих самых ПДevr1ka
12.01.2016 13:08Оператор ПД не должен так халатно относиться к защите этих самых ПД
Согласен
На текущий момент считаю более правильным решить вопрос с JAVA.
Как не обнова — так хоть вешайся — все звонят.
То хром не работал с сайтами государственными, то Опера перестала, то се, то это.
сделали NCLayer — костыль же по сути, для других сайтов государственных (типа sud.kz) не работает.
А все делопроизводство подавай в электронном виде.
Но лучше уж так, чем в очередях с бумажкой.
cheaTTer
13.01.2016 06:47+1На портале налогового комитета (ныне комитет госдоходов) можно было найти по фамилии любого налогоплательщика…
ethoz
Похоже что утечка данных меньшая из их бед.
TimsTims
Раскройтесь непонятливым. Вроде сериализация там в JSON идет(каком-то аналоге, чтоли), и как-то не бросается в глаза ничего страшного.
ethoz
Не утверждаю, но пахнет PHP Object Injection. При наличии «правильных» классов, стечение обстоятельств может вылиться в выполнение произвольного кода.