Astana Innovations (AIN): BUG 7: Критический дефект безопасности (Data Exposure)
Воспроизведение
- Перейти на сайт: https://birge.astana.kz/astana/
- Авторизоваться под обычным пользователем.
- Открыть услугу: Реабилитация и социальная адаптация детей и подростков с проблемами в развитии
- Перейти к блоку «Создание заявки».
- В поле «Заключение ПМПК» — открыть таблицу “Выбор записи реестра”
- Выбрать действии поиск
Как должно быть
• Пользователь должен видеть только свои собственные записи (если он является законным представителем ребёнка).
• Отображение других детей должно быть недоступно.
Как по факту
При заполнении формы услуги "Реабилитация и социальная адаптация детей", всем авторизованным пользователям доступен полный список записей по 1310 детям через таблицу "Выбор записи реестра".
В открытом доступе отображаются:
• ФИО ребёнка;
• ИИН;
• Дата заключения;
• Направление (место реабилитации).
Это представляет собой грубое нарушение Закона РК «О персональных данных», а также принципов безопасности ИС, т. к. информация:
• Содержит персональные данные несовершеннолетних;
• Не ограничена по ролям или доступу;
• Видна любой авторизованной учётной записи, без оснований на владение или опеку.
