Центр анализа и расследования кибератак заявила об уязвимости Mail.kz – портала электронной почты.
В рамках функционирования национальной площадки BugBounty.kz специалистом Игорем Сак-Саковским была выявлена критическая XSS уязвимость на национальном портале электронного сервиса «Mail.kz», приводящая к полной компрометации почты пользователей почтового сервиса и возможность захвата аккаунта сервисов, которые используют данную почту для авторизации.
Одним из способов эксплуатации уязвимости является компрометация всех почтовых сообщений, к тому же он дает возможность отправлять сообщения от имени жертвы-пользователя. Используя эту уязвимость, злоумышленник может перехватить конфиденциальные рабочие переписки жертвы, содержащие критическую информацию.
«Уязвимость в особенности критична, учитывая, что данным почтовым сервисом пользуются не только рядовые граждане Казахстана, но и государственные органы, как МВД, МинЗдрав, МинОбразования, МинСельХоз, ряд областных, городских, районных больниц, клиник и поликлиник по всему Казахстану, а также районные акиматы по всему Казахстану. Ситуация с наличием данной уязвимости в особенности критична, учитывая нестабильную обстановку в соседних странах и постоянно растущее количество кибератак, как на частные сервисы, так и на государственные», – говорится в сообщении ЦАРКА.
