Большое количество пользователей Казнета уже давно использует удобный портал egov.kz для получения онлайн услуг. Полагаясь на квалификацию разработчиков портала, пользователи указывают свои данные, в частности номера мобильного телефона, для пользования «мобильным правительством» (если вами не указан номер телефона, то при каждой авторизации сайт настойчиво просит его указать).
[Скрин 1]
После указания номера телефона ваши данные с этого момента находятся под угрозой. Узнать ваш номер телефона зная только ФИО не составит труда, и для этого даже не нужно взламывать сам портал.
Итак, предположим, что злоумышленник хочет узнать номер телефона определенного человека и использовать его в своих целях. Что для этого нужно.
ШАГ 1.
Злоумышленник знает только ФИО человека.
Для того, чтобы получить его ИИН достаточно обратиться к сервису «Поиск налогоплательщиков» на сайте комитета государственных доходов.
kgd.gov.kz/ru/services/taxpayer_search
Заполнив поле Фамилия и Имя человека получаем ИИН. Тестирование проводилось на одном из членов команды, поэтому его персональные данные мы скрыли. В оригинале показывается полный номер ИИН-а.
[Скрин 2]
ШАГ 2.
Переходим на один из разделов электронного правительства, а именно «Официальная блог-платформа»
blogs.egov.kz/ru/site
и далее в подраздел «Подать обращение» blogs.egov.kz/ru/questions/agreement
Нажимаем кнопку «Далее» и переходим на страницу, где просят ввести ИИН. Вводим ИИН интересующего человека, который мы нашли ранее через модуль Комитета государственных доходов.
Заполняем обязательные поля любыми данными.
[Скрин 3]
ШАГ 3.
После того как мы нажали на кнопку «Далее» мы переходим на страницу, и одновременно с этим получаем сообщение об отправке смс с секретным кодом. В этот момент на мобильный телефон атакуемого человека отправляется смс сообщение.
Теперь дело за малым, в исходном коде текущей страницы нужно найти номер мобильного телефона, который отображается в открытом виде (Правой кнопкой мышью -> Просмотреть код).
[Скрин 4]
Таким образом, зная ФИО человека мы можем узнать его номер телефона, если он его указывал в своем личном кабинете Электронного правительства. При этом как вы должны были заметить взлома системы не было. Данные о номере телефона хранятся в открытом виде.
Как злоумышленники могут воспользоваться данной недоработкой разработчиков портала?
Данная уязвимость позволяет узнать номера понравившейся девушки или интересующего высокопоставленного чиновника. Можно пойти дальше, написать программу, которая по списку ИИН Казахстанцев будет собирать номера телефонов. Во время презентации на конференции в ЕНУ мы получили в качестве примера номер личного телефона одного из сотрудников Администрации Президента, присутствовавшего в зале.
Данную недоработку разработчиков портала мы демонстрировали перед публикой на международно-практической конференции по ИБ в ЕНУ осенью прошлого года. На ней присутствовали представители Электронного правительства, которые сообщили, что они знают про эту «фичу» уже больше года (Они не считают ее уязвимостью).
Автор: NFM