Взлом Госуслуг: утечка исходного кода

P.S. С Госуслугами всё в порядке, есть только один нюанс…

Если людям не нравилось как долго грузится сайт госуслуг, то теперь они могут просто сделать себе свои:

На поддоменах .mos.ру яростно пренебрегали ограничениями к каталогам .git. Я не знаю какова ситуация сейчас, проблему я зарепортил. Однако.
В сухом остатке осталась куча исходного кода, которым я с удовольствием делюсь с вами.

Чтобы понимать. В исходниках почти все госуслуги (ранней или поздней версии), сертификаты есиа (на данный момент работать уже наверняка не будут), и почти 2 гб исходного кода битрикс, который, тебе, мой друг и предстоит изучить. В сухом остатке: Госуслуги = Битрикс, ЕСИА = OpeinId (причем даже не донатили). Ну, а дальше — судите сами.
Госуслуги взломаны.

Для тех, кто всё-таки силён в IT:

1) имея на руках открытый код гораздо проще исследовать и тестировать уязвимости. 100% безопасного кода в таких огромных проектах не бывают, так что с высокой долей вероятности что-то, да найдут;

2) при помощи утекших сертификатов можно проводить фишинговые атаки и похищать ваши данные. Пока непонятно, успели ли сертификаты отозвать и заменить, так как времени с момента публикации прошло совсем немного, а Госуслуги обрадовали наличием уязвимости в 4 часа утра на выходных.

Пока что катастрофы не произошло, но риски дальнейших утечек достаточно высокие.

Подробнее в источнике поста на cybersec’е. Всех с наступающим!

Автор: Александр Прохоров

ff61b869122d310cd0ac2459585e3f91.jpg

© Habrahabr.ru