Уязвимость позволяла любому скачивать паспорта кандидатов на госслужбу

16.01.2020 Pavlov Developer

Уязвимость позволяла любому скачивать паспорта кандидатов на госслужбу

16 Января, 2020,
14:01





99

Специалистами по информационной безопасности было обнаружено, что на сайте, где размещаются вакансии в государственной сфере, была допущена уязвимость. Она позволяет любому просматривать и скачивать паспорта и другие документы кандидатов, желающих попасть на работу в госсектор.

Уязвимость позволяла любому скачивать паспорта кандидатов на госслужбу

Для того, чтобы устроиться на работу в государственную структуру (Министерство финансов Украины, Министерство юстиции Украины и другие министерства, Секретариат Кабинета Министров Украины, Национальное агентство по вопросам государственной службы, Государственное агентство по вопросам электронного правительства), необходимо заполнить анкету, резюме и загрузить свои документы.

Как было обнаружено, документы хранились в открытом доступе, без шифрования, и были доступны простым перебором номеров документов в адресной строке в браузере: любой мог поменять число, например, 112892 на 112893 и получить данные другого клиента.

Уязвимость позволяла любому скачивать паспорта кандидатов на госслужбу

На сайте указано, что всего было подано 51 537 анкет.По словам специалистов, эта цифра могла быть больше.

По состоянию на момент публикации статьи, проблема была исправлена.




Источник