.svg)
В Казахстане зафиксирована масштабная утечка персональных данных спортсменов и тренеров, зарегистрированных в национальной цифровой платформе физической культуры и спорта eSport. В даркнете появилась база, содержащая около 286 тысяч записей, включая ФИО, спортивные разряды, дисциплины и другую чувствительную информацию.
Размещённые злоумышленником данные могут быть использованы для мошеннических схем, включая оформление фиктивных микрозаймов. Вопрос был направлен в Министерство туризма и спорта Республики Казахстан, которое подтвердило подлинность утечки.
«Данные, размещённые в сети, действительно принадлежат спортсменам. В настоящее время проводится совместное расследование с уполномоченными государственными органами. Основная задача — установить источник утечки и выявить информационную систему, из которой были извлечены сведения», — заявили в ведомстве, добавив, что по итогам проверки будет обнародована исчерпывающая информация.
Государственная техническая служба (ГТС) сообщила, что 14 ноября в ходе мониторинга угроз информационной безопасности были выявлены критические уязвимости на платформе eSport. В частности, зафиксированы нарушения по классификациям CWE-288 (Authentication Bypass Using an Alternate Path or Channel) и CWE-285 (Improper Authorization), что позволило злоумышленникам обходить механизмы аутентификации и получать несанкционированный доступ к персональным данным.
«Открыта внеплановая проверка на соответствие требованиям информационной безопасности со стороны Комитета по информационной безопасности Министерства искусственного интеллекта и цифрового развития», — уточнили в ГТС.
Эксперты предложили комплекс мер по устранению рисков: запретить обходные пути регистрации, внедрить единый контролируемый процесс создания учётных записей, настроить строгую ролевую модель доступа и ограничить публичный доступ к API-интерфейсам. Особое внимание уделено необходимости закрыть техническую документацию в форматах Swagger и OpenAPI, которая ранее была доступна в открытом виде.
Государственная техническая служба также настоятельно рекомендовала официальному владельцу платформы — Министерству туризма и спорта — оформить юридически обязывающие отношения с подрядчиком, разработавшим eSport.
«Требуется сформировать полный комплект эксплуатационной, проектной и безопасностной документации, включая архитектурные схемы и инструкции по сопровождению. Без этого невозможно обеспечить долгосрочную защиту цифровой инфраструктуры», — подчеркнули в ГТС.
На фоне происшествия эксперты предупреждают: подобные инциденты демонстрируют системные пробелы в подходах к кибербезопасности государственных цифровых сервисов. Утечки персональных данных не только ставят под угрозу частную жизнь граждан, но и подрывают доверие к национальной цифровой трансформации.
Расследование продолжается.
Николай Ильясов
