Нур-Султан. 18 февраля. КазТАГ – В службе реагирования на компьютерные инциденты KZ-CERT РГП «Государственная техническая служба» (ГТС) КНБ Казахстана обеспокоены репутацией неназванной компании, в которой ранее была обнаружена уязвимость.
«Название не указано, чтобы не создавать ажиотаж среди населения. (…) Мы не хотим нанести риск данной компании, (…) репутационные риски», — заявили в KZ-CERT во вторник, отвечая на вопрос корреспондента о том, почему казахстанцы не должны знать название компании, в которой была допущена уязвимость, раз речь идет о популярном среди населения медицинском учреждении.
Ранее служба распространила сообщение о том, что в рамках меморандума о сотрудничестве между KZ-CERT РГП «ГТС» и ТОО NitroTeam, «совместно была выявлена и устранена уязвимость на портале одной из медицинских компаний. Уязвимость связана с неправильной конфигурацией сервера компании».
«Таким образом, любой пользователь сегмента Интернет мог получить доступ к логину и паролю пациента, которые авторизовались в системе. А доступ в системе предоставлял возможность просмотреть все данные о пациенте, включая результаты анализов, ФИО, адрес, номер телефона и email», — утверждается в распространенном во вторник сообщении.
В KZ-CERT заявили, что «данные логина и пароля содержались в открытом виде, что вновь-таки идет в разрез с политикой информационной безопасности».
«Ввиду популярности данной компании масштабы возможной утечки представить сложно. Однако можно уверенно сказать о том, что совместными усилиями была предотвращена массовая компрометация персональных данных и лабораторных исследований», — утверждают в службе.
Учитывая обозначенную в сообщении «популярность» компании, в которой «масштабы возможной утечки представить сложно», агентство КазТАГ и обратилось в KZ-CERT за уточнением названия компании.