Неизвестные слили в Интернет исходный код регионального портала «Госуслуги» Пензенской области. Об этом заявил основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян. Исходник первым разместил портал cybersec.org. В дальнейшем обсуждение темы появилось на портале Habr. Авторы темы обратили внимание, что код удалось скачать с поддоменов mos.ru, где он хранился в незашифрованном виде. Организаторы утечки данных утверждали, что они заполучили и сертификаты ЕСИА.
При этом , авторы слива утверждают, что в полученных ими данных также содержатся сертификаты ЕСИА. Ими был сделан вывод, что «Госуслуги» созданы на базе платформы «Битрикс», а ЕСИА — на базе OpenID.
Ресурс cybersec.org сообщил, что пытался связаться с порталом «Госуслуг» и сообщить им о проблеме. Специалисты платформы запросили точное описание слитых файлов, после чего якобы перестали выходить на связь.
В Минцифры уже заявили, что исключают несанкционированный доступ к исходному коду портала «Госуслуг» и заявили, что «данные пользователей надежно защищены». Впрочем о том, что пользовательские данные затронуты не были сказал и Оганесян.
Пока не были, добавим мы.
Тем не менее, ситуация скандальная. Сейчас в РФ осуществляется создание цифровой платформы ГосТех, - самый масштабный цифровой проект РФ сегодняшнего дня, предусматривающий переход на единую федеральную цифровую платформу и систему токен- авторизации. При этом портал «Госуслуги» должен стать существенной частью данной платформы, а между тем, как выясняется, исходники уже гуляют по сети и причина этого обычная для России: отсутствие компетенции исполнителей и понимания ими уровня существующих угроз.
В частности, эксперты и ранее не раз говорили о необходимость двух факторов защиты на «Госуслугах». Однофакторная авторизация, применяемая сейчас, нестойкая и всегда может попасть в руки злоумышленника в случае, если он украдет пароль или телефон.
https://ko.ru/news/iskhodnyy-kod-portala-gosuslugi-poyavilsya-v-seti/
Оценили 17 человек
26 кармы