При этом ЦАРКА в своем сообщении на Facebook ссылается на ресурс serj.ws, где «одним из казахстанских исследователей была опубликована уязвимость в приложении, позволяющая злоумышленникам получать не только свои данные с индивидуального пенсионного счета».
Автор исследования отмечает, что путем подмены ID, которые отображаются в URL страницы при авторизации, сервер выдает «отчеты других людей».
Приложение ЕНПФ предназначено для вкладчиков фонда. Функционал приложения позволяет клиентам получать подробные сведения о состоянии своего пенсионного счета. Для авторизации используются те же логин и пароль, с помощью которых вкладчик входит в личный кабинет на сайте фонда.