В безопасности “Госуслуг” обнаружена давняя брешь

в 4:52, , рубрики: Это интересно

В безопасности “Госуслуг” обнаружена давняя брешь

Согласно информации «МБХ Медиа», на брешь в безопасности портала обратил внимание специалист по кибербезопасности и руководитель компании Vee Security Александр Литреев. Для того, чтобы получить доступ к служебным документам «Госуслуг» достаточно перейти по ссылке вида «http://smev.gosuslugi.ru/portal/api/files/get/00000», где вместо нулей на конце — номер документа.

В безопасности “Госуслуг” обнаружена давняя брешь

Проверяя эту информацию, «Популярная механика» смогла скачать и бегло изучить руководство пользователя СМЭВ в редакции «Роспотребнадзора», а также таблицу с адресами серверов для отправки запросов WSDL — по этому протоколу, судя по всему, обеспечивается межведомственный обмен данными. Файл «МВ ответственные», в котором, по словам Литреева, содержится большое количество контактных данных высокопоставленных лиц, оказался недоступен.

В безопасности “Госуслуг” обнаружена давняя брешь

В большинстве случаев при попытке указать любое число в конце ссылки, сайт выводил сообщение «Технологический портал СМЭВ ограниченно доступен». Неизвестно, является ли это показателем принятых «Госуслугами» мер по устранению недочета, либо же портал всегда так работал. Комментариев от представителей главного справочно-информационного ресурса страны не поступало.

Без ответа остается вопрос, насколько существенная информация была доступна любому желающему и успел ли ей кто-то воспользоваться, а также, насколько защищенными являются межведомственные каналы обмена информации. Возможно, на протяжении нескольких лет персональные данные миллионов россиян были под угрозой, вопреки заверениям о высокой безопасности портала «Госуслуги». Система СМЭВ работает с 2010 года и, в числе прочего, дает возможность гражданам не носить одни и те же документы в различные ведомства, а также самим ведомствам совершать запрос необходимой информации о заявителе без его участия.

Источник

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js