Исходный код «Госуслуг» оказался в открытом доступе. Личных данных нет, но есть цифровые сертификаты

Уязвимость была найдена на региональном подсайте «Госуслуг»
На сайте Сybersec появилась заметка со ссылкой на исходный код портала «Госуслуг». Автор обнаружил открытый git-репозиторий, в котором находился исходный код «Госуслуг» в незашифрованном виде и сертификаты ЕСИА (Единая система идентификации и аутентификации — информационная система РФ, обеспечивающая санкционированный доступ граждан и должностных лиц к информации в государственных информационных системах). Автор заметки рассказывает, что «Госуслуги» написаны на движке «Битрикс», а система авторизации ЕСИА основана на OpenID. Пользовательские данные утечка не затронула.
Перед тем, как обнародовать информацию, хакер обратился к администрации «Госуслуг» и рассказал об утечке. Администрация сайта попросила детальное описание утечки и подтверждение, после чего перестала выходить на связь.
Такие утечки могут быть как на пользу сервиса, так и во вред. Изучение системы могло бы помочь найти другие уязвимости и устранить их, однако нельзя исключить и факт того, что выявленные уязвимости позволили бы выкрасть данные пользователей.
Сейчас «Госуслуги» сообщают, что сервис работает в штатном режиме. Между тем, открытый доступ к системам версионирования (системам управления версиями кода) из-за неправильной настройки — не редкость. В 2009 году произошел аналогичный случай, затронувший 3300 проектов. Тогда исходный код хранился в svn-каталогах. Впрочем, суть атаки не поменялась — дело не в технологии версионирования (Git или Subversion), а в неверной настройке сервера.