В результате несанкционированного доступа к информационной системе предприятия «Юркас» произошла утечка персональных данных. Об этом сообщает Тelegram канал Национального центра защиты персональных данных.

По предоставленной центру оператором информации, утечка затронула не более 5 тысяч субъектов персональных данных.

В сеть утекли: ФИО, адреса электронной почты, номера телефонов клиентов и сотрудников предприятия.

Центр проанализировал последние крупные «утечки» персональных данных и сообщил, что злоумышленники воспользовались уязвимостью межсайтовых сценариев информационной системы Битрикс для загрузки на сервера организаций сторонних файлов-скриптов в формате *.php (adminer.php, testing.php и т.п.).

Такая уязвимость позволяет злоумышленнику размещать клиентские скрипты на веб-страницах, что допускает осуществление несанкционированного доступа к базе данных информационного ресурса.

Уязвимость возникает: вследствие блокировки обновлений (в том числе из-за использования пользовательского кода при доработке/разработке ИС), отсутствия контроля за обеспечением информационной безопасности в организациях, необеспечения технической и криптографической защиты персональных данных в установленном порядке.

Центр напоминает операторам о необходимости своевременного обновления системного ПО и реализации в полном объеме требований технической и криптографической защиты персональных данных.