Новая уязвимость egov.kz: как на портале можно получить доступ к персональным данным

Об уязвимости на портале электронного правительства Egov.kz корреспонденту Orda.kz сообщили специалисты в области приватности из юридической фирмы DRCQ

Так, директор DRCQ Руслан Дайырбеков сообщил, что на государственном сайте электронного правительства Казахстана egov.kz можно узнать личные сведения, а именно ФИО (фамилию, имя и отчество) и информацию о гражданстве, путём ввода ИИН (индивидуальный идентификационный номер) в строке.

В частности, если заказать услугу по смене первого руководителя, то можно узнавать ФИО и отношение к гражданству любых физических лиц, если вбить их ИИН.

«Эту возможность мы обнаружили случайно. К нам обратился клиент с вопросом по смене первого руководителя в компании. Мы хотели провести эту операцию онлайн и заметили, что когда вводим ИИН нового директора, отображается информация по его ФИО и гражданству. Тогда я решил свой ИИН вписать и вышли мои данные», – отметил Руслан Дайырбеков.

На сайте выходит такая картинка:

А это, по мнению главы юридической фирмы DRCQ, нарушает Закон РК "О персональных данных и их защите".

Данный закон является важным нормативным актом, который регулирует сбор, хранение и обработку персональных данных. В соответствии с этим законом, персональные данные, в том числе ФИО и информация о гражданстве, являются конфиденциальными и должны быть защищены от неправомерного раскрытия и использования.

Предоставление доступа к ФИО через ввод ИИН без соответствующего согласия граждан является нарушением права на конфиденциальность и может привести к потенциальным рискам, связанным с незаконным использованием личных данных.

Например, преступники могут дополнительно сверять эти данные, актуализировать, чтобы проверить связку между ИИН и ФИО. Телефонные мошенники будут казаться гораздо убедительнее, если озвучат потенциальной жертве её личные данные.

Ранее Комитет госдоходов Минфина имел функцию поисковика по физическим лицам, с помощью которых можно было узнать как ФИО, так и ИИН. Однако 29 марта 2021 года КГД опубликовал новость, что в связи с рекомендациями уполномоченного органа в области информационной безопасности с 29 марта 2021 года сервис «Поиск налогоплательщика», а именно по поиску физических лиц, будет не доступен на Web-портале и мобильном приложении е-Salyq Azamat, рассказал Елжан Кабышев.

Однако поисковик по ИИН всё ещё имеется на сервисе egov.kz при получении тех или иных государственных услуг. Для обеспечения защиты персональных данных граждан Казахстана необходимо соблюдать законодательные требования и установленные процедуры, предусмотренные законом. Это крайне важно для обеспечения конфиденциальности личной информации граждан и предотвращения возможных нарушений и злоупотреблений в отношении персональных данных со стороны третьих лиц.

29 мая DRCQ направило соответствующее заявление в адрес АО «НИТ», чтобы там обратили внимание на проблему в области защиты персональных данных.