При анализе последних уведомлений о нарушении систем защиты персональных данных было установлено, что злоумышленники воспользовались уязвимостью межсайтовых сценариев информационной системы Битрикс для загрузки на сервера организаций сторонних файлов-скриптов в формате *.php (adminer.php, testing.php и т.п.).
Такая уязвимость позволяет злоумышленнику размещать клиентские скрипты на веб-страницах, что допускает осуществление несанкционированного доступа к базе данных информационного ресурса.
Уязвимость возникает:
вследствие блокировки обновлений (в том числе из-за использования пользовательского кода при доработке/разработке ИС), отсутствия контроля за обеспечением информационной безопасности в организациях, необеспечения технической и криптографической защиты персональных данных в установленном порядке.
Центр напоминает операторам о необходимости своевременного обновления системного ПО и реализации в полном объеме требований технической и криптографической защиты персональных данных.