Новости

 | Понедельник, 27 мая 2019 10:35

В безопасности Госуслуг обнаружена брешь, позволяющая любому увидеть внутренние документы системы

Начиная с пятницы, 24 мая, через социальные сети и мессенджеры активно распространяется инструкция, позволяющая любому пользователю интернета скачать к себе на компьютер внутренние документы портала Госуслуги. Уязвимость обнаружил специалист по кибербезопасности, гендиректор компании Vee Security Александр Литреев, поделившись своей находкой с заблокированным в России сайтом «МБХ медиа». Пикантности ситуации добавляет тот факт, что к Госуслугам подключены почти все ведомства в стране, а, значит, в открытом доступе гипотетически могут оказаться документы, имеющие отношение, например, к МВД, ФСБ и Минобороны.

Как уверяет Александр Литреев, чтобы получить доступ к внутренним документам справочно-информационного портала Госуслуги, совершенно не нужно обладать какими-то специальными техническими навыками. Скачивание документов осуществляется фактически в автоматическом режиме. По словам Литреева, достаточно в адресную строку любого браузера скопировать ссылку http://smev.gosuslugi.ru/portal/api/files/get/XXXXX, заменив последние шесть знаков «X» любыми цифрами, которые будут соответствовать номеру документа в системе. После ввода цифр, начинается автоматическая загрузка документов.

«Часть документов портала выставлена в открытый доступ намеренно. На некоторые документы они сами дают ссылки на своем сайте, будто они и должны быть в открытом доступе. Хотя очевидно, что сборник личных мобильных телефонов в сети висеть не должен», - цитирует Литреева запрещенный в России сайт «МБХ медиа».

На момент публикации данной новости, найденная специалистом потенциальная брешь в системе безопасности Госуслуг все еще функционирует. Впрочем, пока остается непонятным, действительно ли в скаченных документах есть какая-либо конфиденцианальная информация.

«То, что потенциальная уязвимость, о которой говорит Литреев, существует, сомнений не вызывает. Другое дело, действительно ли таким образом можно получить конфиденциальные документы. Беглая проверка показала, что с Госуслуг можно скачать какие-то документы, которые в принципе не должны быть открыты всем подряд, но могут ли среди них находиться содержащие действительно секретную информацию, которая может нести в себе угрозу отдельным лицам, сказать сейчас сложно», - отметил в интервью порталу Крылатское.ру технический специалист компании «РусСтар» Дмитрий Иволгин.

Собеседник портала также подчеркнул, что если данная информация уже получила такую широкую огласку, то «подкованные» пользователи уже скачали к себе на компьютер все возможные документы, номера которых содержат шесть цифр.

«Технически подкованные пользователи, конечно, не будут руками вбивать цифры наугад, чтобы найти что-то интересное. Они просто скачают все документы подряд, номера которых состоят из всех возможных комбинаций пяти цифр от 00001 до 99999. Есть ли среди этих документов действительно конфиденциальные, по идее, должны сказать представители Госуслуг», - резюмировал собеседник.

Проект портала Госуслуги был запущен в 2009 году в рамках электронного правительства. Портал принадлежит Минкомсвязи и «Ростелекому». По данным Минкосвязи, на апрель 2019 года на Госуслугах были зарегистрированы 86,5 млн человек.

Читайте «Крылатское.ру»

в «Telegram»

Опрос недели

Вам нужен отдельный контейнер для вторсырья на мусорных площадках у дома?