Исходный код «Госуслуг» оказался в открытом доступе. Личных данных нет, но есть цифровые сертификаты
На сайте Сybersec появилась заметка со ссылкой на исходный код портала «Госуслуг». Автор обнаружил открытый git-репозиторий, в котором находился исходный код «Госуслуг» в незашифрованном виде и сертификаты ЕСИА (Единая система идентификации и аутентификации — информационная система РФ, обеспечивающая санкционированный доступ граждан и должностных лиц к информации в государственных информационных системах). Автор заметки рассказывает, что «Госуслуги» написаны на движке «Битрикс», а система авторизации ЕСИА основана на OpenID. Пользовательские данные утечка не затронула.
Перед тем, как обнародовать информацию, хакер обратился к администрации «Госуслуг» и рассказал об утечке. Администрация сайта попросила детальное описание утечки и подтверждение, после чего перестала выходить на связь.
Такие утечки могут быть как на пользу сервиса, так и во вред. Изучение системы могло бы помочь найти другие уязвимости и устранить их, однако нельзя исключить и факт того, что выявленные уязвимости позволили бы выкрасть данные пользователей.
Сейчас «Госуслуги» сообщают, что сервис работает в штатном режиме. Между тем, открытый доступ к системам версионирования (системам управления версиями кода) из-за неправильной настройки — не редкость. В 2009 году произошел аналогичный случай, затронувший 3300 проектов. Тогда исходный код хранился в svn-каталогах. Впрочем, суть атаки не поменялась — дело не в технологии версионирования (Git или Subversion), а в неверной настройке сервера.
Уязвимость была найдена на региональном подсайте «Госуслуг»