- PVSM.RU - https://www.pvsm.ru -

Дыра на портале «Госуслуги»: внутренние документы лежат в открытом доступе

Специалист по безопасности Александр Литреев рассказал об уязвимости [1] на портале «Госуслуги» [2].

Оказалось, что внутренние документы чиновников с их персональной информацией открыты для свободного доступа. «Абсолютно _ВСЯ_ база рабочих документов, касающихся интеграции лежит в открытом доступе, — пишет Литреев. — Она никак не зашифрована, не имеет никакой авторизации/аутентификации и, в принципе, скачать её может абсолютно кто угодно».

Посмотреть любой документ в базе можно по прямой ссылке такого вида:

http://smev.gosuslugi.ru/portal/api/files/get/XXXXX

где XXXXX — порядковый номер документа в системе.

Например, по запросу /files/get/10484 [3] скачивается таблица Excel под названием МВ ответственные.xlsx, в которой содержится информация обо всех лицах, ответственных за интеграцию. В списке указаны ФИО, должность, служебные и личные мобильные телефоны, адрес электронной почты для связи по вопросам интеграции.

Дыра на портале «Госуслуги»: внутренние документы лежат в открытом доступе - 1

Александр Литреев напиоминает, что на разработку портала «Госуслуги» было потрачено более 495 миллионов рублей. Ресурс позиционируется как централизованный сервис взаимодействия с различными государственными службами и органами — с помощью него можно оформить паспорт/загранпаспорт, водительское удостоверение, получить справку об отсутствии судимости и многое другое. По данным Минкомсвязи, по состоянию на апрель 2019 года на портале были зарегистрированы 86,5 млн россиян.

К системе подключены практически все ведомства страны, в том числе ФСБ, министерство обороны, МВД и другие.

Для интеграции данных из разных источников на портале организована Система Межведомственного Электронного Взаимодействия (СМЭВ), через которую подключаются все региональные и федеральные органы. Именно эта часть портала не защищена. Прямо сейчас документы с портала http://smev.gosuslugi.ru/ [4] находятся в открытом доступе.

«Естественно, не составляет никакого труда написать скрипт, который обеспечит перебор всех таких адресов и выгрузит все такие документы, что уже успели сделать энтузиасты из одного соседнего государства», — пишет Литреев.

Хакерская группа THack3forU выложила на Github [5] питоновский скрипт для поиска валидных URL с документами.

Александр Литреев просмотрел некоторые документы в базе и нашёл несколько любопытных деталей. Например, руководитель подразделения межведомственного взаимодействия ФСБ Мелин Александр Васильевич использует личную почту на Mail.ru [6].

Автор: alizar

Источник [7]

Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/318565

Ссылки в тексте:

[1] рассказал об уязвимости: https://telegra.ph/Vnutrennie-dokumenty-portala-GosUslugi-okazalis-v-otkrytom-dostupe-05-23

[2] «Госуслуги»: https://www.gosuslugi.ru/

[3] /files/get/10484: http://smev.gosuslugi.ru/portal/api/files/get/10484

[4] http://smev.gosuslugi.ru/: http://smev.gosuslugi.ru/

[5] выложила на Github: https://github.com/TH3ForU/gos_brute

[6] использует личную почту на Mail.ru: https://telegra.ph/file/f7eba6f6f6caeb0e4ba2a.jpg

[7] Источник: https://habr.com/ru/post/453186/?utm_campaign=453186