В текущем месяце произошел ряд крупных утечек персональных данных. В общей сложности более миллиона личных данных (ФИО, e-mail, телефон, адрес) белорусских граждан утекли в сеть.
Это клиенты интернет-магазинов ostrov-shop.by, buslik.by, а также частного предприятия ”Юркас“.
Утечка персональных данных подразумевает под собой незаконное попадание какой-либо личной информации в открытый доступ или в руки других людей, что, в свою очередь, может вызывать целый ряд негативных последствий.
Статьей 16 Закона ”О защите персональных данных“ на операторов возложена обязанность уведомлять Национальный центр защиты персональных данных о нарушениях систем защиты персональных данных. Указанные организации сделали это своевременно.
При анализе последних инцидентов было установлено, что злоумышленники воспользовались уязвимостью межсайтовых сценариев информационной системы Битрикс для загрузки на сервера организаций сторонних файлов-скриптов в формате *.php (adminer.php, testing.php и т.п.).
Такая уязвимость системы безопасности позволяет злоумышленнику размещать клиентские скрипты (обычно JavaScript) на веб-страницах, что допускает осуществление несанкционированного доступа к базе данных информационного ресурса.
Уязвимость возникает:
- вследствие блокировки обновлений (в том числе из-за использования пользовательского кода при доработке/разработке информационной системы),
- отсутствия контроля за обеспечением информационной безопасности в организациях,
- необеспечения технической и криптографической защиты персональных данных в установленном порядке.
Центр напоминает операторам о необходимости своевременного обновления системного программного обеспечения и реализации в полном объеме требований технической и криптографической защиты персональных данных.