🗂 В России к новостям связанных с утечкой данных уже привыкли, а в Беларуси до июля 2023г. крупных инцидентов не было. В текущем месяце слили в сеть более миллиона персональных данных граждан из интернет-магазинов: ostrov-shop.by, buslik.by, alloplus.by.
Злоумышленники воспользовались уязвимостью межсайтовых сценариев 1С:Битрикс для загрузки на сервера организаций сторонних файлов-скриптов в формате *.php (adminer.php, testing.php и т.п.). Такая уязвимость системы безопасности позволяет злоумышленнику размещать клиентские скрипты JavaScript на веб-страницах, что допускает осуществление несанкционированного доступа к БД.
Как отмечает НЦЗПД РБ, уязвимость возникает:
• вследствие блокировки обновлений (в том числе из-за использования пользовательского кода при доработке/разработке информационной системы),
• отсутствия контроля за обеспечением информационной безопасности в организациях,
• необеспечения технической и криптографической защиты персональных данных в установленном порядке.
Злоумышленники воспользовались уязвимостью межсайтовых сценариев 1С:Битрикс для загрузки на сервера организаций сторонних файлов-скриптов в формате *.php (adminer.php, testing.php и т.п.). Такая уязвимость системы безопасности позволяет злоумышленнику размещать клиентские скрипты JavaScript на веб-страницах, что допускает осуществление несанкционированного доступа к БД.
Как отмечает НЦЗПД РБ, уязвимость возникает:
• вследствие блокировки обновлений (в том числе из-за использования пользовательского кода при доработке/разработке информационной системы),
• отсутствия контроля за обеспечением информационной безопасности в организациях,
• необеспечения технической и криптографической защиты персональных данных в установленном порядке.