Исходный код портала «Госуслуги» оказался в открытом доступе, пишет «Коммерсант», ссылаясь на компанию CyberSec. Архив размером 7 Гб обнаружил хакер Владислав Хорохорин, уточнило издание Pikabu.ru. Код мог быть скомпрометирован через взломанный региональный пензенский портал. В компании «Информзащита» подтвердили, что произошла частичная утечка, «в открытом доступе выложен исходный код регионального портала пензенских госуслуг, дата создания файлов — 3 ноября 2021 года». По словам директора центра мониторинга и реагирования на инциденты информационной безопасности компании Ивана Мелехина, если аналогичный код использовался в других регионах и на федеральном уровне, возможен массовый взлом сервиса.
В утекшем коде эксперты обнаружили закрытый ключ SSL-сертификата, необходимый для связи с сервером системы Единой системы идентификации и аутентификации (ЕСИА), которая используется для идентификации пользователей на федеральном и всех региональных порталах. По словам Мелехина, утечка, скорее всего, произошла из-за неправильной конфигурации репозиториев, то есть хранилищ, исходного кода.
Портал «Госуслуги» работает в штатном режиме, данные пользователей в безопасности, угрозы несанкционированного доступа к исходным кодам ресурса нет, сообщила пресс-служба Минцифры РФ.
27.12.2021 20:27Исходные коды находились в открытом (неправильно сконфигурированном) репозитории, где их и нашел исследователь безопасности, уточнил основатель сервиса разведки утечек данных DLBI Ашот Оганесян. По его данным, в кодах находились закрытые ключи от сертификатов, используемых для доступа к ЕСИА, которые могли бы быть использованы злоумышленником для доступа к персональным данным граждан.
По словам заместителя гендиректора Zecurion Александра Ковалева, сам факт утечки исходного кода и ключа SSL-сертификата еще не означает, что им можно воспользоваться, «это может быть тестовый ключ, который часто используется в разработке». Такой инцидент позволяет найти еще больше уязвимостей портала, чем при внешнем сканировании, считает руководитель компании T.Hunter Игорь Бедеров.
В Минцифры пояснили, что мониторинг выявил недостатки в работе одного из региональных порталов, который не имеет доступа к данным федерального портала госуслуг. Проверка всей инфраструктуры электронного правительства также не выявила угроз несанкционированного доступа к исходным кодам, отметили в министерстве. В «Ростелекоме», который отвечает за техподдержку федерального портала, пока ничего не ответили.
Пользователь может сам включить второй фактор защиты своих данных на портале госуслуг в личном кабинете. Для тех, кто не озаботится этим, в 2022-м и планируется ввести обязательную двухфакторную идентификацию.
22.12.2021 08:28
Комментарии