2018-1-21 07:52 |
Государство обещает обеспечить высокий уровень защиты персональной информации граждан, внесенной в биометрическую базу данных. Однако недавно удалось выяснить, что система назначения очередей в управлении МВД по выдаче биометрических документов, которая отправляет гражданам SMS-сообщения, допускает утечку информации.
Исследователь Ран Бар-Зик обнаружил, что хакер может определить дату очереди, местонахождение организации и номер телефона адресата сообщения. Вместе с тем, невозможно увидеть номер удостоверения личности или имя гражданина.
Тем не менее, и эта брешь была устранена после проведения определенного процесса, который позволяет устранить неполадки до извещения о них общественности. Процесс был проведен совместно с представителями Министерства внутренних дел.
«SMS-сообщения отправляются Министерством внутренних дел через сервер, который вообще не является безопасным. Насколько он небезопасен? Его уровень позволяет получить к нему доступ любому 17-летнему подростку — и это именно то, что произошло, — написал Бар Зик в своем блоге. — Почему это так серьезно? По двум причинам: это свидетельствует об уровне безопасности компьютеров Министерства внутренних дел в целом и биометрической базы данных в частности. Одна из основных вещей, которую умеет самый заурядный программист, это защитить, хотя бы на уровне пароля, любой сервер, открытый для сети, и особенно сервер, который передает такие данные. Если они не могут создать защиту от атак, которую может обеспечить 11-летний мальчик, то что же происходит, когда необходимо обеспечить более существенный уровень безопасности? Во-вторых, эти данные могут использоваться при попытках фишинга и вымогательства. Например, представьте себе следующий сценарий телефонной беседы:
— Здравствуйте! Говорит Мошико из Министерства внутренних дел. Я вижу, что вам назначена очередь в отделение в Бней-Браке на 8:30 утра во вторник, 11 января.
— Да, действительно! Почему вы звоните?
— Мы можем сэкономить вам время. Сообщите, пожалуйста, номер своего удостоверения личности и номер кредитной карты, и мы побеспокоимся, чтобы ваш паспорт был отправлен вам по почте».
Брешь в биометрической базе данных является не единственным открытием Бар-Зика. Он провел исследование стандартных инструментов в пределах IP-адресов израильского сегмента интернета и с удивлением обнаружил множество открытых баз данных — как правительственных учреждений, так и коммерческих компаний. В частности, он нашел список пациентов одной из клиник на севере страны, список клиентов торговых компаний и многое другое.
«Детали» — по материалам The Marker. Фото: Борис Беленкин
источник »
|
