14.07.2023
В июле произошел ряд инцидентов, связанных с утечкой персональных данных крупных интернет-магазинов (ostrov-shop.by, buslik.by, alloplus.by).
Злоумышленники воспользовались уязвимостью межсайтовых сценариев информационной системы Битрикс для загрузки на сервера организаций сторонних файлов-скриптов в формате *.php (adminer.php, testing.php и т.п.).
Такая уязвимость системы безопасности позволяет злоумышленнику размещать клиентские скрипты (обычно JavaScript) на веб-страницах, что допускает осуществление несанкционированного доступа к базе данных информационного ресурса.
Как отмечает Национальный центр защиты персональных данных Республики Беларусь, уязвимость возникает:
- вследствие блокировки обновлений (в том числе из-за использования пользовательского кода при доработке/разработке информационной системы);
- отсутствия контроля за обеспечением информационной безопасности в организациях;
- необеспечения технической и криптографической защиты персональных данных в установленном порядке.
Во избежание подобных инцидентов, необходимо:
- своевременно актуализировать CMS Битрикс (устанавливать последние релизы), следить за публикацией информации о новых уязвимостях;
- регулярно проводить аудит качества кода пользовательских разработок и доработок сайта (коды и скрипты должны быть написаны в соответствии с канонами CMS).