База данных МВД уязвима для хакеров

Государство обещает обеспечить высокий уровень защиты персональной информации граждан, внесенной в биометрическую базу данных. Однако недавно удалось выяснить, что система назначения очередей в управлении МВД по выдаче биометрических документов, которая отправляет гражданам SMS-сообщения, допускает утечку информации.

Исследователь Ран Бар-Зик обнаружил, что хакер может определить дату очереди, местонахождение организации и номер телефона адресата сообщения. Вместе с тем, невозможно увидеть номер удостоверения личности или имя гражданина.

Тем не менее, и эта брешь была устранена после проведения определенного процесса, который позволяет устранить неполадки до извещения о них общественности. Процесс был проведен совместно с представителями Министерства внутренних дел.

«SMS-сообщения отправляются Министерством внутренних дел через сервер, который вообще не является безопасным. Насколько он небезопасен? Его уровень позволяет получить к нему доступ любому 17-летнему подростку — и это именно то, что произошло, — написал Бар Зик в своем блоге. — Почему это так серьезно? По двум причинам: это свидетельствует об уровне безопасности компьютеров Министерства внутренних дел в целом и биометрической базы данных в частности. Одна из основных вещей, которую умеет самый заурядный программист, это защитить, хотя бы на уровне пароля, любой сервер, открытый для сети, и особенно сервер, который передает такие данные. Если они не могут создать защиту от атак, которую может обеспечить 11-летний мальчик, то что же происходит, когда необходимо обеспечить более существенный уровень безопасности? Во-вторых, эти данные могут использоваться при попытках фишинга и вымогательства. Например, представьте себе следующий сценарий телефонной беседы:

— Здравствуйте! Говорит Мошико из Министерства внутренних дел. Я вижу, что вам назначена очередь в отделение в Бней-Браке на 8:30 утра во вторник, 11 января.

— Да, действительно! Почему вы звоните?

— Мы можем сэкономить вам время. Сообщите, пожалуйста, номер своего удостоверения личности и номер кредитной карты, и мы побеспокоимся, чтобы ваш паспорт был отправлен вам по почте».

Брешь в биометрической базе данных является не единственным открытием Бар-Зика. Он провел исследование стандартных инструментов в пределах IP-адресов израильского сегмента интернета и с удивлением обнаружил множество открытых баз данных — как правительственных учреждений, так и коммерческих компаний. В частности, он нашел список пациентов одной из клиник на севере страны, список клиентов торговых компаний и многое другое.

Амитай Зив, TheMarker, Ш.Ш.

Фотоиллюстрация: компьютерный центр. Источник: Wikimedia public domain


Реклама




Send this to a friend