Исходный код «Госуслуг» оказался в открытом доступе. Личных данных нет, но есть цифровые сертификаты

Произошла частичная утечка — выложен исходный код и сертификаты портала пензенских госуслуг. Если аналогичный код использовался в других регионах и на федеральном уровне, теоретически возможен массовый взлом сервиса.
Исходный код «Госуслуг» оказался в открытом доступе. Личных данных нет, но есть цифровые сертификаты
Госуслуги

Уязвимость была найдена на региональном подсайте «Госуслуг»

На сайте Сybersec появилась заметка со ссылкой на исходный код портала «Госуслуг». Автор обнаружил открытый git-репозиторий, в котором находился исходный код «Госуслуг» в незашифрованном виде и сертификаты ЕСИА (Единая система идентификации и аутентификации — информационная система РФ, обеспечивающая санкционированный доступ граждан и должностных лиц к информации в государственных информационных системах). Автор заметки рассказывает, что «Госуслуги» написаны на движке «Битрикс», а система авторизации ЕСИА основана на OpenID. Пользовательские данные утечка не затронула.

РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ

Перед тем, как обнародовать информацию, хакер обратился к администрации «Госуслуг» и рассказал об утечке. Администрация сайта попросила детальное описание утечки и подтверждение, после чего перестала выходить на связь.

Ответ администрации сайта
Ответ администрации сайта
Сybersec

Такие утечки могут быть как на пользу сервиса, так и во вред. Изучение системы могло бы помочь найти другие уязвимости и устранить их, однако нельзя исключить и факт того, что выявленные уязвимости позволили бы выкрасть данные пользователей.

РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ

Сейчас «Госуслуги» сообщают, что сервис работает в штатном режиме. Между тем, открытый доступ к системам версионирования (системам управления версиями кода) из-за неправильной настройки — не редкость. В 2009 году произошел аналогичный случай, затронувший 3300 проектов. Тогда исходный код хранился в svn-каталогах. Впрочем, суть атаки не поменялась — дело не в технологии версионирования (Git или Subversion), а в неверной настройке сервера.