Исходный код госуслуг попал в Сеть. Хакеры смогли скачать его, так как данные находились в незашифрованном виде. В открытом доступе оказались и сертификаты ЕСИА.
#
Навязчивая идея тотальной цифровизации, овладевшая нашим Правительством и законодательно поддерживаемая Госдумой с её принятыми законами по этой теме, например, об экспериментальных правовых режимах (Федеральный закон от 31.07.2020 г. № 258-ФЗ • Президент России:
http://www.kremlin.ru/acts/bank/45796), а также азарт, которым заразили Президента, любящего всё новое и передовое, начинает не просто играть с нами злые шутки.
Так хочется быть Державой, равной ведущим Державам. Так хочется войти в первую пятёрку экономик, став уважаемым и равным игроком на европейской и мировой политической сцене.
А без экстренной цифровизации тут никуда!
Со школьными туалетами на улице - можно. С отсутствием горячего водоснабжения в провинциальных больницах, с тараканами, облезлым потолком и провисшими кроватями - можно.
Можно с смс-ками, собирающими деньги для умирающие детей. Даже не краснея, с помощью федеральных телеканалов, типа, государство тоже в этом участие принимает.
С этими смс - можно.
С нищенской пенсией - можно. А вот без цифровизации - никак. Не признает нас мировое сообщество. Вот и спешим. Там, где не просто не надо спешить, а спешить - опасно!
Эта идея тотальной цифровизации, реализуемая безотносительно непроработанного, слабо и неэффективно функционирующего инструментария, гарантирующего защиту информации, в том числе, информации персональной, начинает превращаться у нас в ящик Пандоры, приоткрываемой шаловливыми руками чиновников.
Вышеуказанный федеральный закон № 258-ФЗ
"Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации", в частности, гласит:
Статья 4. Принципы экспериментального правового режима
Принципами экспериментального правового режима являются:
1) недопустимость ограничения конституционных прав и свобод граждан, нарушения единства экономического пространства на территории Российской Федерации или иного умаления гарантий защиты прав граждан и юридических лиц, предусмотренных Конституцией Российской Федерации (выделено мною - ВЛ), федеральными конституционными законами, федеральными законами, нормативными правовыми актами Президента Российской Федерации, нормативными правовыми актами Правительства Российской Федерации и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации;
2) обеспечение безопасности личности, общества и государства;
Цифровой монстр, уже выходящий из-под контроля, как показывает практика, вряд ли соответствует пункту 2 ст. 4
А пресловутый QR-код прямо противоречит пункту 1 этой статьи. Выводы делайте сами.
Возвращаясь к началу поста, вот, что удалось найти (https://cybersec.org/hack/vzlom-gosusulug-hotya-kakoj-tam-vzlom-vernee-skazat-sliv.html). В тексте есть отдельные нецензурные слова, а также масса терминов, понятных только специалистам, тем не менее, CyberSec вам в помощь. Имеющий глаза, да увидит.
"Взлом Госуслуг. Хотя, какой там взлом, вернее сказать, слив."
Тема уязвимости Госуслуг поднимается постоянно. То окучили бабку на квартиру, то получили чьи то данные. До сих пор никто не претендовал на звание «хакера», данные так и не были слиты. Тема обсуждалась многими известными специалистами в ИБ, даже специалистами Касперского, но до сих пор никто не ушел дальше обхода валидации полей. Ок. Парни, вы можете дрочить Госуслуги до победного. Но ящичек открывается проще. Как и всегда, по сути, с любым удачным похеком. Результаты я предоставляю на анализ целиком вам.
Могу лишь добавить, что взлома то и не было. Это слив. Наш автор просто обнаружил открытый репозиторий. Которым мы теперь делимся с вами.
Хочется спросить у закорытников -цифровизаторов как в случае утечки морду лица менять будете?
Оценили 17 человек
36 кармы