На хакерском сайте cybersec.org появилась статья, в которой рассказывается об утечке с Госуслуг. Там же приводится ссылка для скачивания исходного кода этого сервиса.

Подписаться на iGuides в Telegram, чтобы узнать обо всем первым — t.me/iguides

Госуслуги — государственный интернет-ресурс, которые предоставляет гражданам доступ к услугам различных ведомств. Он также содержит личные данные всех пользователей.

Проблема заключалась в том, что разработчики Госуслуг забыли закрыть гостевой доступ к каталогам.git, из-за чего любой желающий мог выкачать исходники сайта (что и сделал админ cybersec.org). Он сообщил об этом «команде кибербезопасности Госуслуг», поэтому она, вероятно, предприняла какие-то действия по защите сайта. Помимо исходников, в утечке содержатся сертификаты ЕСИА, которые в теории можно использовать для взлома аккаунтов.

Выяснилось, что Госуслуги построены на движке «Битрикс», а система авторизации ЕСИА на OpenID. Эта утечка не содержит личных данных пользователей Госуслуг, но представляет интерес как для ИБ-специалистов, так и для хакеров. Изучение исходного кода поможет найти уязвимости и закрыть их или эксплуатировать.

Некоторые ИБ-специалисты уже изучили утечку и утверждают, что ничего опасного в ней нет:

Слили исходный код одного из региональных сайтов госуслуг — Пензенской области, федеральные госуслуги и mos.ru там вообще не при чём. Какого-то суперущерба безопасности тоже нет, т. к. по факту, эти региональные сайты = тонкие клиенты основной ЕСИА-системы госуслуг.