07.09.2018
Источник:
Курсив
Информация вкладчиков не защищена?
Центр анализа и расследования кибератак сообщил о уязвимости приложения Единого накопительного пенсионного фонда, позволяющей получать данные чужих пенсионных счетов.
«Одним из казахстанских исследователей была опубликована уязвимость в приложении, позволяющая злоумышленникам получать не только свои данные с индивидуального пенсионного счета», - сообщает ЦАРКА со ссылкой на портал serj.ws.
Отмечается, что благодаря подмене ID, которые отображаются в URL-страницы при авторизации, сервер выдает информацию о суммах пенсионных накоплений других вкладчиков.
Таким образом, злоумышленники могут получить личную информацию вкладчиков прямым перебором для получения всех поступлений.
Добавим, что приложение ЕНПФ предназначено для вкладчиков фонда. Функционал приложения позволяет клиентам получать подробные сведения о состоянии своего пенсионного счета.
