https://ru.sputnik.kz/20220328/ispolzuemyy-kazakhstanskimi-gosorganami-pochtovyy-servis-okazalsya-kriticheski-uyazvim-23792521.html
Используемый казахстанскими госорганами почтовый сервис оказался критически уязвим
Используемый казахстанскими госорганами почтовый сервис оказался критически уязвим
Sputnik Казахстан
Как утверждают в ЦАРКА, о критической уязвимости владельцы почтового сервиса были уведомлены еще четыре месяца назад 28.03.2022, Sputnik Казахстан
2022-03-28T16:04+0500
2022-03-28T16:04+0500
2022-03-28T18:46+0500
хакер
почта
безопасность
https://sputnik.kz/img/933/63/9336345_0:164:2881:1785_1920x0_80_0_0_1e10101b9e12f4bcdb141cf7eb5f7395.jpg
НУР-СУЛТАН, 28 мар — Sputnik. Центр анализа и расследования кибератак в Казахстане заявил о небезопасности портала электронной почты Mail.kz."В рамках функционирования национальной площадки BugBounty.kz исследователями была выявлена критическая XSS уязвимость на национальном портале электронного сервиса Mail.kz, приводящая к полной компрометации почты пользователей почтового сервиса и возможности захвата аккаунта сервисов, которые используют данную почту для авторизации", - говорится в сообщении ЦАРКА.По данным центра расследования кибератак, используя эту уязвимость, злоумышленники могут перехватить конфиденциальные рабочие переписки жертвы, содержащие критическую информацию.Хакеры похитили деньги со счетов клиентов банка в Казахстане"Под критичными данными подразумевается письма, содержащие материалы по расследованиям, содержащим персональные медицинские данные, финансовая документация организаций, инсайдерская информация касательно потенциальных сделок, которые нанесут существенный финансовый и репутационный урон жертве. Уязвимость в особенности критична, учитывая, что данным почтовым сервисом пользуются не только рядовые граждане Казахстана, но и государственные органы, как МВД, Минздрав, Минобразования, Минсельхоз, ряд областных, городских, районных больниц, клиник и поликлиник по всему Казахстану, а также районные акиматы по всему Казахстану", - предупреждают "белые" хакеры.По сведениям ЦАРКА, информация о данной уязвимости известна владельцам платформы минимум с ноября 2021 года, но при этом обратная связь не была получена.Как понять, что за вами следят через веб-камеруВ ЦАРКА напомнили, ситуация с наличием данной уязвимости в особенности критична, учитывая нестабильную обстановку в соседних странах и постоянно растущее количество кибератак как на частные сервисы, так и на государственные."Для примера, у Gmail, Mail.Ru, Yandex и других мировых крупных почтовых систем существуют выстроенные механизмы работы с получением уязвимостей от независимых экспертов и регламент по их устранению. Они привлекают Bug Bounty платформы с тысячами исследователей для более эффективного выявления различных уязвимостей и дальнейшего регулирования их исправлений. Мы раскрываем публично данную уязвимость, так как "достучаться" до владельца сервиса за 4 месяца не получилось", - отмечают в центре.ЦАРКА предупреждает, что использование платформы Mail.kz на сегодняшний день влечет критические риски для текущих ее пользователей.Через несколько часов после опубликования данного заявления, в Telegram-канале ЦАРКА появилась обновленная информация, из которой следует, что уязвимость на почтовом сервисе все же была исправлена.
https://ru.sputnik.kz/20211027/Belye-khakery-obnaruzhili-okolo-50-uyazvimostey-eGovkz-18511802.html
Sputnik Казахстан
media@sputniknews.com
+74956456601
MIA „Rossiya Segodnya“
2022
Sputnik Казахстан
media@sputniknews.com
+74956456601
MIA „Rossiya Segodnya“
Новости
ru_KK
Sputnik Казахстан
media@sputniknews.com
+74956456601
MIA „Rossiya Segodnya“
Sputnik Казахстан
media@sputniknews.com
+74956456601
MIA „Rossiya Segodnya“
хакер, почта, безопасность
хакер, почта, безопасность
Используемый казахстанскими госорганами почтовый сервис оказался критически уязвим
16:04 28.03.2022 (обновлено: 18:46 28.03.2022) Как утверждают в ЦАРКА, о критической уязвимости владельцы почтового сервиса были уведомлены еще четыре месяца назад
НУР-СУЛТАН, 28 мар — Sputnik. Центр анализа и расследования кибератак в Казахстане заявил о небезопасности портала электронной почты Mail.kz.
"В рамках функционирования национальной площадки BugBounty.kz исследователями была выявлена критическая XSS уязвимость на национальном портале электронного сервиса Mail.kz, приводящая к полной компрометации почты пользователей почтового сервиса и возможности захвата аккаунта сервисов, которые используют данную почту для авторизации", - говорится в сообщении ЦАРКА.
По данным центра расследования кибератак, используя эту уязвимость, злоумышленники могут перехватить конфиденциальные рабочие переписки жертвы, содержащие критическую информацию.
"Под критичными данными подразумевается письма, содержащие материалы по расследованиям, содержащим персональные медицинские данные, финансовая документация организаций, инсайдерская информация касательно потенциальных сделок, которые нанесут существенный финансовый и репутационный урон жертве. Уязвимость в особенности критична, учитывая, что данным почтовым сервисом пользуются не только рядовые граждане Казахстана, но и государственные органы, как МВД, Минздрав, Минобразования, Минсельхоз, ряд областных, городских, районных больниц, клиник и поликлиник по всему Казахстану, а также районные акиматы по всему Казахстану", - предупреждают "белые" хакеры.
По сведениям ЦАРКА, информация о данной уязвимости известна владельцам платформы минимум с ноября 2021 года, но при этом обратная связь не была получена.
В ЦАРКА напомнили, ситуация с наличием данной уязвимости в особенности критична, учитывая нестабильную обстановку в соседних странах и постоянно растущее количество кибератак как на частные сервисы, так и на государственные.
"Для примера, у Gmail, Mail.Ru, Yandex и других мировых крупных почтовых систем существуют выстроенные механизмы работы с получением уязвимостей от независимых экспертов и регламент по их устранению. Они привлекают Bug Bounty платформы с тысячами исследователей для более эффективного выявления различных уязвимостей и дальнейшего регулирования их исправлений. Мы раскрываем публично данную уязвимость, так как "достучаться" до владельца сервиса за 4 месяца не получилось", - отмечают в центре.
ЦАРКА предупреждает, что использование платформы Mail.kz на сегодняшний день влечет критические риски для текущих ее пользователей.
Через несколько часов после опубликования данного заявления, в Telegram-канале ЦАРКА появилась обновленная информация, из которой следует, что уязвимость на почтовом сервисе все же была исправлена.
