ИБ-специалист Александр Литреев обнаружил в открытом доступе внутренние документы с портала «Госуслуги», на разработку которого из бюджета было потрачено около полумиллиарда рублей.
Подбором слов и номеров в адресной строке можно открыть документы, которые должны держаться в секрете. В некоторых файлах содержится служебная и даже личная информация: ФИО сотрудников различных ведомств, их должности, адреса электронной почты, номера телефонов.
Абсолютно _ВСЯ_ база рабочих документов, касающихся интеграции лежит в открытом доступе, никак не зашифрована, не имеет никакой авторизации/аутентификации и, в принципе, скачать её может абсолютно кто угодно. Достаточно воспользоваться адресом http://smev.gosuslugi.ru/portal/api/files/get/XXXXX, где XXXXX — порядковый номер документа в системе.
Самое забавное, что оказывается, во многих ведомствах не особо пекутся о безопасности (вообще не пекутся). Так, например, не какой-нибудь там рядовой сотрудник ФСБ, а сам Руководитель подразделения межведомственного взаимодействия ФСБ Мелин Александр Васильевич использует (внимание) личную почту на Мейл.ру!
Из «Госуслуг» можно выкачать документы, которыми обмениваются различные ведомства. Очевидно, что эта информация не предназначена для публикации в открытом виде, а предназначена для служебного пользования. К моменту публикации уязвимости «Госуслуг» не устранены.
iGuides в Telegram — t-do.ru/igmedia
iGuides в Яндекс.Дзен — zen.yandex.ru/iguides.ru
