Пароли к сервисам одного из казахстанских банков нашли в открытом доступе
Специалисты АО "Государственная техническая служба" обнаружили уязвимость на сайте одного из казахстанских банков второго уровня, передаёт BaigeNews.kz.
"CWE-530 – уязвимость, которая возникает, когда резервные копии файлов (бэкап) веб-приложения остаются открытыми для несанкционированного доступа. Специалисты ГТС обнаружили бэкап файл (доступный для скачивания неавторизованным пользователям), содержащий исходный код веб-приложения, персональную информацию клиентов и сотрудников банка, а именно 11 файлов, среди которых находилась информация о сотрудниках банка с паролями от доступа к VPN", - сообщили в ГТС.
Эксперты отметили, что, используя эти данные, можно было удалённо подсоединиться к внутренней системе банка и самостоятельно провести платёж, получить доступ к финансовым системам либо подменить платёжные реквизиты клиентов.
Уязвимость устранили.