Исследователи безопасности обнаружили, что исходный код «Госуслуг» мог быть скомпрометирован через взломанный региональный пензенский портал. Они обнаружили в утечке ключ доступа для связи с сервером Единой системы идентификации и аутентификации (ЕСИА), которая используется на федеральном и региональных порталах. Доступ к ключу дает привилегированные права в системе, предупреждают эксперты. В Минцифры уверяют, что утечка не повлияет на безопасность федерального портала, поскольку у него отличный от регионального исходный код.
Исходный код портала госуслуг оказался в открытом доступе, сообщила CyberSec, которая занимается киберзащитой. Архив с исходными кодами размером 7 Гб обнаружил хакер Владислав Хорохорин, уточнило издание Pikabu.ru.
В компании «Информзащита» “Ъ” подтвердили, что произошла частичная утечка, «в открытом доступе выложен исходный код регионального портала пензенских госуслуг, дата создания файлов — 3 ноября 2021 года». По словам директора центра мониторинга и реагирования на инциденты информационной безопасности компании Ивана Мелехина, если аналогичный код использовался в других регионах и на федеральном уровне, возможен массовый взлом сервиса. Вечером 27 декабря пензенский портал был недоступен, проверил корреспондент “Ъ”.
В утекшем коде эксперты «Информазщиты» обнаружили закрытый ключ SSL-сертификата, необходимый для связи с сервером системы ЕСИА, которая используется для идентификации пользователей на федеральном и всех региональных порталах.
«Пароли, которые зашиты в утекший код, очень простые, и, если он распространен в других регионах, это представляет собой очень серьезную угрозу»,— утверждает господин Мелехин.
Утечка, по его мнению, скорее всего, произошла из-за неправильной конфигурации репозиториев, то есть хранилищ, исходного кода.
Исходные коды находились в открытом (неправильно сконфигурированном) репозитории, где их и нашел исследователь безопасности, уточнил основатель сервиса разведки утечек данных DLBI Ашот Оганесян. По его данным, в кодах находились закрытые ключи от сертификатов, используемых для доступа к ЕСИА, «теоретически эти ключи и сертификаты могли бы быть использованы злоумышленником для доступа, например, к персональным данным граждан».
Дмитрий Чернышенко, вице-премьер РФ, 6 декабря (цитата «РИА Новости»)
На сегодняшний день на портале госуслуг зарегистрировано 90 млн граждан с подтвержденной учетной записью. Еженедельно пользователи заказывают до 6,5 млн электронных услуг
Сам факт утечки исходного кода и ключа SSL-сертификата еще не означает, что им можно воспользоваться, «это может быть тестовый ключ, который часто используется в разработке», возражает заместитель гендиректора Zecurion Александр Ковалев. Такой инцидент позволяет найти еще больше уязвимостей портала, чем при внешнем сканировании, считает руководитель компании T.Hunter Игорь Бедеров.
В Минцифры “Ъ” пояснили, что мониторинг выявил недостатки в работе одного из региональных порталов, который не имеет доступа к данным федерального портала госуслуг.
Проверка всей инфраструктуры электронного правительства также не выявила угроз несанкционированного доступа к исходным кодам — «на инфраструктуре регионального портала организован дополнительный мониторинг возможных атак», заверили в министерстве. В «Ростелекоме», который отвечает за техподдержку федерального портала, “Ъ” не ответили.
Утечки на портале госуслуг уже происходили. В декабре 2019 года в публичный доступ были выложены персональные данные 28 тыс. пользователей Ханты-Мансийского автономного округа (см. “Ъ” от 29 декабря 2019 года). В ноябре 2021 года россияне дважды жаловались на сбои в работе федерального портала, они не могли получить сертификаты о вакцинации от коронавируса, а 11 ноября Минцифры сообщило, что отразило рекордную хакерскую атаку на «Госуслуги».