СМИ: опубликовавший часть исходного кода сайта «Госуслуг» Пензы основатель Cybersec раскрыл причины своих действий
28 декабря 2021 года российское издание Forbes рассказало, что нашедший и опубликовавший часть исходного кода регионального портала госуслуг Пензенской области основатель Cybersec Владислав Хорохорин раскрыл причины своих действий. Также ИБ-эксперт и его коллеги рассказали, что они нашли в утечке.
Хорохорин раскрыл, что о возможной проблеме из-за неверных настроек безопасности Git-репозитория регионального портала госуслуг Пензенской области он узнал от коллеги. Также на сайте Cybersec по этому инциденту была опубликована ссылка лишь на часть архива данных, а не на весь, который сотрудники компании смогли получить, пока эта информация была в открытом доступе, Сейчас доступ к этим данным закрыт со стороны разработчиков госуслуг.
После обнаружения проблемы Хорохорин обратился в службу безопасности сайта «Госуслуг» по поводу утечки данных портала «Госуслуг», а также других государственных сайтов. Он написал, что в этой утечке находятся цифровые сертификаты, с помощью которых можно получить доступ, в частности, в «Единую систему идентификации и аутентификации» (ЕСИА), которая используется для доступа к «Госуслугам». После нескольких обращений с подробным разбором инцидента Хорохорин не получил в ответ ничего от разработчиков госуслуг.
Хорохорин рассказал, что утечка произошла не через сам сайт пензенских «Госуслуг», а через сайт Фонда реновации Москвы, который использует совместный репозитарий с пензенским ресурсом «Госуслуг». По его словам, в том же репозитории находились фрагменты или целый код других правительственных ресурсов. Данные по ним Cybersec не публиковала. Специалисты компании пояснили, что «беглый анализ данных» показал, что правительственные ресурсы используют «архаичные библиотеки, что может привести к серьезным проблемам». Также, по информации Cybersec, федеральные и региональные подразделения используют одинаковую кодовую базу примерно процентов на 70%.
Хорохорин пояснил изданию, что его коллеги не первые, кто обнаружил уязвимости на сайте «Госуслуг». Он предполагает, что некоторое время злоумышленники могли использовать эту лазейку для получения персональных данных российских пользователей.
Хорохорин заявил, что опубликовал часть обнаруженного исходного кода госуслуг для того, чтобы привлечь общее внимание к крупной проблеме низкого уровня кибербезопасности госресурсов.
По словам основателя Cybersec, в результате правильно сформированного запроса с помощью цифрового сертификата можно было получить ФИО, контактные данные, СНИЛС и многие другие данные российских пользователей. Хорохорин пояснил, что уровень безопасности этой части госуслуг очень низкий. Например, пароли, которые использовались для доступа к сертификатам, были простые — типа »12345678».
ИБ-эксперты, которые ознакомились с данными из утечки, рассказали, что там нет каких-либо критических данных или информации о пользователях в чистом виде, но там есть электронный сертификат, который от имени Пензенского филиала позволял авторизоваться в Системе межведомственного электронного взаимодействия, которая используется федеральными и региональными органами власти, а также кредитными организациями для обмена данными для оказания госуслуг от имени Пензенского филиала. Специалисты отрасли считают, что с его помощью злоумышленники могли совершить более десятка различных действий, например — отправлять запросы о полной информации о пользователях (имя, фамилия, паспортные данные, различные документы) и организациях (адрес, сотрудники, имущество во владении). Сейчас официальный сайт филиала госуслуг Пензы после инцидента недоступен. Эксперты считают, что там проводятся действия по замене сертификата.
Источники Forbes выяснили, что из 11,5 ГБ данных, содержащихся в утечке, более 10,9 ГБ занимают шаблоны форм документов и файлы, скачанные с сайта «КонсультантПлюс», которые для анализа и злоумышленников не представляют никакого интереса. Также в утекшем архиве содержится вся история отдела разработки Пензенского филиала по 27 октября 2021 года, а также логины и пароли администраторов и пользователей к различным внутренним сервисам, которые недоступны вне корпоративной сети. Вдобавок в утечке специалисты обнаружили исходный код генерации электронной подписи для онлайн-платежей в системе Best2pay, который, возможно, могли использовать третьи лица для совершения поддельных платежей от имени пензенского филиала.
Специалисты ИБ-компаний считают, что данная утечка позволит злоумышленникам узнать больше о внутренней работе сервиса госуслуг. Теперь многие в отрасли поняли, как там происходит интеграция филиалов, с какими ресурсами федерального портала «Госуслуг» они взаимодействуют. Из-за этих данных новые атаки на госуслуги могут быть более таргетированные.
27 декабря Минцифры опровергло информацию об утечке исходного кода портала «Госуслуги». Ведомство заверило, что государственная информационная система работает в штатном режиме, на нее не было совершено атаки, также нет угрозы несанкционированного доступа к исходным кодам ресурса. Минцифры рассказало, что после выявления инцидента нарушения безопасности одного из региональных порталов специалистами ведомства была проведена проверка ряда прочих региональных и федеральных систем, в результате которой не было выявлено пересечения исходных кодов с федеральными госуслугами.
Эксперты сервиса разведки утечек данных и мониторинга даркнета DLBI пояснили, что взлома или утечки данных с федерального портала «Госуслуги» не было. По их данным, в общий доступ попали исходные коды регионального портала госуслуг Пензенской области.
Сейчас на этом сайте висит заглушка.
ИБ-специалисты пояснили, что утекшие исходные коды находились в неправильно сконфигурированном и открытом для других Git-репозитории. Именно их обнаружил сначала один исследователь безопасности, а потом и другие пользователи, которые начали распространять информацию об этой утечке. По первым данным ее анализа выяснилось, что региональный портал госуслуг Пензенской области создан на движке «Битрикс», а система авторизации ЕСИА работает на базе OpenID. Также в исходных кодах регионального портала госуслуг Пензенской области находились закрытые ключи от сертификатов, используемых для доступа к Единой Системе Идентификации и Аутентификации (ЕСИА).
Ранее на Хабре была новость, что произошел взлом сервиса «Госуслуги» и утечка исходного кода.
