Данные 286 тысяч казахстанцев утекли в сеть: разбираем главные детали

Изображение сгенерировано при помощи нейросети

В сети появилась информация, что утекли данные 286 тысяч казахстанских спортсменов и тренеров с портала eSport. Ситуацию прокомментировали в государственной технической службе, передает Tengrinews.kz.

В сети появилась информация, что утекли данные 286 тысяч казахстанских спортсменов и тренеров с портала eSport. Ситуацию прокомментировали в государственной технической службе, передает Tengrinews.kz.

Что пишут СМИ

Как стало известно редакции Profit.kz, 13 ноября 2025 года на одном из форумов даркнета разместили базу данных, которая, по утверждению автора публикации, может относиться к национальному спортивному реестру esport.gov.kz.

Издание сообщает, что злоумышленник якобы опубликовал в открытом доступе базу данных, охватывающую значительную часть спортивного сектора страны. В тексте медиа указано, что дамп содержит около 286 тысяч записей, включая данные о реальных людях с указанием их спортивных разрядов и дисциплин.

Отмечается, что эти данные, к примеру, "могут быть использованы для попыток оформления фиктивных микрозаймов".

Фото:depositphotos.com

Ответ министерства

По ситуации мы запросили комментарий у министерства туризма и спорта.

"Данные, размещенные в сети, действительно принадлежат спортсменам. В настоящее время проводится расследование совместно с уполномоченными госорганами. Проверка направлена на установление того, каким образом произошла утечка и из какой информационной системы могли быть получены данные", - ответили в ведомстве.

В министерстве подчеркнули, что по итогам расследования будет предоставлена дополнительная информация.

Экспертный комментарий

Чтобы получить разъяснение по этому вопросу, мы обратились в государственную техническую службу. Нам сообщили, что в результате мониторинга угроз информационной безопасности 14 ноября 2025 года на Цифровой платформе физической культуры и спорта выявлены уязвимости следующих типов: CWE-288: Authentication Bypass Using an Alternate Path or Channel CWE-285: Improper Authorization. Проще говоря, в системе нашли ошибки безопасности, которые позволяют обходить вход в систему и получать доступ к данным или функциям без необходимых прав.

"Открыта внеплановая проверка на соответствие требованиям информационной безопасности со стороны уполномоченного органа в лице Комитета по информационной безопасности Министерства искусственного интеллекта и цифрового развития", - отметили в ГТС.

Фото:depositphotos.com

Как предотвратить новую утечку

В компании ответили нам и на этот вопрос. Уточняется, что для устранения технических уязвимостей необходимо закрыть обходные способы регистрации и внедрить единый контролируемый процесс создания учётных записей.

"Также следует ограничить доступ к API, настроить строгую авторизацию и ролевую модель доступа, чтобы обычные пользователи не могли получать чувствительные данные. Кроме того, нужно закрыть публичный доступ к техническим схемам API (swagger/openapi) и пересмотреть архитектуру API, исключив лишние или незадокументированные методы", - сообщили в ГТС.

Согласно ответу, необходимо сделать так, чтобы зарегистрироваться в системе можно было без обходных вариантов; ограничить доступ к внутренним функциям сайта и чётко разделить права пользователей, чтобы посторонние не могли видеть служебную или личную информацию. Кроме того, закрыть открытый доступ к техническим материалам сайта и убрать лишние, неиспользуемые или скрытые функции. Это позволит защитить систему от несанкционированного доступа и утечек данных.

Далее ГТС рекомендует после устранения выявленных проблем ещё раз проверить систему на безопасность, чтобы убедиться, что ошибки действительно исправлены и доступ к данным надёжно защищён. Кроме того, компания советует официально оформить отношения с разработчиком: заключить договор на сопровождение и техническую поддержку сайта esport.gov.kz. В документе следует чётко прописать, кто за что отвечает, как и в какие сроки устраняются проблемы, а также порядок предоставления доступа к технической документации и исходному коду.

"Нужно сформировать полный комплект эксплуатационной, технической и проектной документации, включая архитектуру, инструкции по сопровождению, а также документы по обеспечению информационной безопасности", - резюмировали в ГТС.

К слову, в конце октября мажилисмен Абуталип Мутали направил депутатский запрос заместителю премьер-министра — министру искусственного интеллекта и цифрового развития Жаслану Мадиеву, потребовав усилить защиту персональных данных казахстанцев.

В частности, он напомнил, что в июне 2025 года произошла крупнейшая утечка, когда в открытом доступе оказались данные более 16 миллионов казахстанцев. Этот случай, по словам депутата, показал серьёзные уязвимости в государственных и квазигосударственных системах.

Тогда же Мутали предложил правительству: увеличить ответственность за утечки персональных данных; провести комплексный аудит уязвимостей в государственных и квазигосударственных информационных системах; разработать чёткий план по устранению рисков.