5 дней назад мы сообщили (через контактную форму на сайте) о том, что в свободно доступных индексах Elasticsearch обнаружены данные заявок на пропуска для передвижения по городу Алматы в период карантина, которые оформляли компании Казахстана через сайт infoalmaty.kzinfoalmaty.kz. 🔥

К сожалению, никакой реакции на наше оповещение не последовало и Elasticsearch-сервер открыт до сих пор. 🤦‍♂️

По данным BinaryEdge, этот сервер впервые попал в открытый доступ 01.05.2020. 😱

Других вариантов связаться с infoalmaty.kzinfoalmaty.kz у нас нет, поэтому если среди наших читателей есть те, кому не безразлична проблема безопасности данных в Казахстане, предлагаем им рассказать данному проекту о проблеме. 👍

Подробнее про инцидент мы напишем позже. 😎

Здравствуйте. Вячеслав, менеджер проекта инфоАлматы.
Мы провели дополнительные тесты, усилили защиту, утечка не подтверждается.

Вячеслав привет! Ты теперь за проект отвечаешь?

а у меня дурацкий вопрос - а из кеша гугла тоже "не подтверждается"?

что делать если менеджер сайта игнорирует наличие XSS?

Если у сайта есть критический функционал (удалить аккаунт, password/email reset итд) можно эксплуатировать в купе с CSRF. Закидываешь жертве ссылку, у него производится XSS+CSRF, угоняешь аккаунт/куки. После такого должен обратить внимание

Стоп. Кто должен обратить внимание на дыру в безопасности сайта? Менеджер??? Вы серьезно???