НАЗВАНА ОСНОВНАЯ ПРИЧИНА МАСШТАБНОЙ УТЕЧКИ ПЕРСОНАЛЬНЫХ ДАННЫХ БЕЛОРУСОВ
Проведенная проверка показала, что во всех случаях хакеры использовали уязвимость межсайтовых сценариев информационной системы Битрикс. Они загрузили на серверы указанных выше компаний файлы-скрипты в формате *.php (testing.php и т.д.). Это позволило им размещать на веб-страницах клиентские скрипты, что открыло для злоумышленников доступ к базе данных информационного ресурса.
Эксперты отметили, что причиной появления уязвимости могли стать:
- заблокированные обновления (в том числе и по причине использования пользовательского кода при доработке информационной системы);
- персональные данные не защищались криптографическими и техническими способами;
- неудовлетворительный контроль над информационной безопасностью в компании.
В ведомстве напомнили, что Закон «О защите персональных данных» обязывает оператора уведомлять Национальный центр защиты персональных данных о всех случаях, когда сохранность конфиденциальной информации была нарушена. Все три компании это требование выполнили своевременно. Также специалисты обратили внимание операторов на то, что они должны регулярно обновлять системное ПО и полностью следовать правилам защиты конфиденциально информации.
Алексей КОНОПЛЁВ
Фото носит иллюстративный характер