Специалисты АО «Государственная техническая служба» обнаружили уязвимость на сайте одного из казахстанских банков второго уровня, передаёт Neonomad.kz со ссылкой на BaigeNews.kz.
CWE-530 – уязвимость, которая возникает, когда резервные копии файлов (бэкап) веб-приложения остаются открытыми для несанкционированного доступа. Специалисты ГТС обнаружили бэкап файл (доступный для скачивания неавторизованным пользователям), содержащий исходный код веб-приложения, персональную информацию клиентов и сотрудников банка, а именно 11 файлов, среди которых находилась информация о сотрудниках банка с паролями от доступа к VPN, — сообщили в ГТС.
Специалисты указали, что с помощью этих данных можно было дистанционно подключиться к внутренней системе банка, самостоятельно осуществить платеж, получить доступ к финансовым системам или изменить платежные данные клиентов.
Уязвимость была исправлена.
