Astana Innovations (AIN): BUG 6: Ошибка безопасности / Нарушение доступа к персональным данным
Воспроизведение
- Перейти на сайт: https://birge.astana.kz/astana/
- Авторизоваться под обычным пользователем.
- Открыть услугу: «Обследование и оказание психолого-медико-педагогической консультативной помощи детям с ограниченными возможностями».
- Перейти к блоку «Сведения о заявителе».
- В поле «ФИО» — открыть выпадающий список.
- Убедиться, что в выпадающем списке доступны ФИО других пользователей или сотрудников.
Как должно быть
• В поле «ФИО» должен отображаться только текущий авторизованный пользователь, от имени которого подаётся заявление.
• Выбор других пользователей должен быть недоступен.
Как по факту
На публичном портале birge.astana.kz при заполнении формы заявки на вышеуказанную услугу, в поле «ФИО» (Сведения о заявителе) пользователю доступен выбор любого зарегистрированного пользователя/сотрудника, а не только своих собственных данных.
Это является серьёзным нарушением конфиденциальности и может повлечь:
• Несанкционированный доступ к персональным данным других лиц;
• Возможность подачи заявления от имени третьих лиц;
• Нарушение законодательства РК о защите персональных данных.
