Специалисты Центра анализа и расследования кибератак (ЦАРКА) обнаружили критическую уязвимость в системе документооборота Documentolog.

"Уязвимость позволяет получить доступ к деловой переписке всех организаций, использующих Documentolog. Продукт даёт полный доступ администраторам компании-разработчика к документам заказчиков, а также возможность просмотра документов соседних по облачному сервису организаций", – сообщили в ЦАРКА.

Отмечается, что отсутствие процедур обеспечения безопасности и сертификатов о прохождении аудита системы не помешало разработчикам продукта стать самой популярной системой документооборота и захватить казахстанский рынок.

"Продукт используется практически во всех нацкомпаниях и тем самым подвергает риску их внутренние документы, обеспечивающих основу экономики страны", – говорится в сообщении.

В списке пользователей системы:

  • Самрук Казына;
  • Самрук Энерго;
  • Казатомпром;
  • Холдинг Зерде;
  • НИТ;
  • Правительство для граждан;
  • КаспийМунайГаз;
  • Холдинг Байтерек;
  • НАТР;
  • Фонд Даму;
  • НПП Атамекен;
  • Жилстройсбербанк;
  • Казахстанская ипотечная компания;
  • Фонд Болашак;
  • Фондовая биржа KASE;
  • Казконтент;
  • Холдинг Казагро;
  • Экибастузская ГРЭС;
  • Мойнакская ГЭС;
  • Шардаринская ГЭС;
  • Институт онкологии и радиологии;
  • СПИД Центр.

Полный список клиентов неизвестен, но по оценке ЦАРКА, в него входят около 200 организаций.

"Возможно, секретом успеха одноименной компании является сильное лобби, поскольку этот небезопасный продукт претендует быть основой национальной системы документооборота. На нашей памяти это первый инцидент с врачебной, банковской и коммерческой тайнами одновременно. Очень надеемся, что до утечки государственных секретов не дошло", – сообщили в ЦАРКА.

ЦАРКА направил запрос в Совет безопасности РК с просьбой разобраться в ситуации и принять необходимые меры для предотвращения утечки данных или меры компенсации, если это уже произошло.

"ЦАРКА рекомендует всем клиентам Documentolog провести все предусмотренные на случаи взлома процедуры (смена паролей, аудит внутреннего периметра, резервное копирование данных и предупреждение всех партнёров о возможном инциденте). Просим проверить наличие процедур и требований безопасности к поставщикам программного обеспечения согласно требованиям международного стандарта ISO 27001", – посоветовали специалисты центра.

Эту информацию по просьбе informburo.kz прокомментировал генеральный директор ТОО “Documentolog” Байжан Канафин. Он сообщил, что уязвимостей, о которых говорится в сообщении ЦАРКА, уже нет, они были быстро устранены.

"По нашему мнению, это дешёвый способ сделать хайп или PR, потому что, если бы их компания руководствовалась благородными целями, то пришли бы и сказали: "Ребята, вот мы нашли (уязвимость – Авт.)". Мы подробно напишем и проанализируем, как и что они сделали. Нам скрывать нечего. Причём их действия подпадают под уголовную статью как взлом системы частной компании. Они взломали не портал клиента, а именно наш внутренний портал компании", – сказал Байжан Канафин.

При этом, он отметил, что система была взломана при помощи вредоносной троянской программы, проникающей в компьютер под видом легального программного обеспечения.

"Они просто послали "троянского коня" в службу технической поддержки нашей компании. Сотрудник службы эту ссылку открыла, которую они послали. И они смогли получить доступ к аккаунту службы техподдержки, у которой есть возможность видеть аккаунты всех клиентов, которые направляют к ним запросы", – добавил генеральный директор ТОО.

Также по его словам, в компании намерены проанализировать случившееся на предмет ущерба для репутации, а также правомерности действий по сбору информации.

"Никто не говорит, что у нас всё идеально, но мы лидеры на рынке именно потому, что постоянно развиваемся. Дали бы они нам рекомендации, и если бы мы их не исправили через неделю или месяц, то, пожалуйста, имели бы полное право публиковать (информацию об уязвимости – Авт. )", – считает Канафин.

Дополнено: вечером 8 августа сообщение о найденной уязвимости на официальной странице ЦАРКА в Facebook было отредактировано. Новый пост сообщает о том, что стороны совместно будут разбираться в причинах случившегося.

"Учитывая большой резонанс обсуждаемой темы, а также запросы пользователей системы документооборота, руководство ЦАРКА и Documentolog приняло решение провести всесторонне расследование инцидента с привлечением всех заинтересованных сторон. О результатах расследования сообщим через СМИ и социальные сети. Будем держать вас в курсе..." – говорится в тексте сообщения.

Президент ОЮЛ "ЦАРКА" Олжас Сатиев сообщил корреспонденту Informburo.kz, что пост был обновлён по причине "большого шума" вокруг уязвимости портала Documentolog.

"Письмо в Совет безопасности мы отправили, поэтому решили в Facebook отредактировать, а потом выложить более подробную информацию. В Совбез мы отправили тоже, что первоначально и написали в Facebook, но с техническими деталями, которые мы не можем публиковать в соцсетях", – сказал Олжас Сатиев.

По его словам, пока каких-то конкретных договорённостей по расследованию инцидента с руководством Documentolog не достигнуто, ведутся переговоры. При этом он опроверг информацию, что портал был взломан троянской программой.

"Человек немного технически не разбирается, то есть это был не "троян", а уязвимость. В нашем случае файл никакой не отправлялся. Была именно уязвимость, через которую можно было атаковать службу поддержки. Но тут вопрос в другом. Почему у специалистов из службы поддержки и администраторов есть доступ к просмотру переписок и документооборота всех государственных нацсистем. Здесь даже взламывать не нужно, а можно просто заплатить человеку, у которого не такая большая зарплата, и получить доступ ко всем документам Казахстана", – сообщил руководитель ЦАРКА.

При этом он отказался назвать все технические моменты взлома, отметив, что способ и механизм использования уязвимости портала были описаны в письме к Совету безопасности.

Следите за самыми актуальными новостями в нашем Telegram-канале и на странице в Facebook

Присоединяйтесь к нашему сообществу в Instagram

Если вы нашли ошибку в тексте, выделите ее мышью и нажмите Ctrl+Enter