Портал Госуслуг мог быть скомпрометирован после утечки данных в регионе

28.12.2021 |

Елизавета Клейн.

Архив с исходным кодом пензенского регионального портала Госуслуг оказался в открытом доступе в сети. Так называемые «этичные хакеры», исследующие безопасность различных сайтов, обнаружили, что эти данные ошибочно хранились в открытом репозитории. Эксперты по информационной безопасности подтверждают, что действительно произошла частичная утечка данных, исходный код пензенского сайта с датой создания 3.11.21 появился в открытых источниках. В результате доступ к порталу Госуслуг Пензы был временно приостановлен. Однако в Минцифры отрицают риск того, что эта локальная утечка отразится на работе федерального ресурса.

По некоторым данным, среди оказавшейся в публичном доступе информации находились ключи доступа к серверу ЕСИА, позволяющие получить права более высокого уровня в системе. Так, специалисты компания «Информзащита» обнаружили ключ SSL-сертификата, требующийся для связи с сервером системы ЕСИА, использующейся для подтверждения данных пользователей на федеральном и региональных порталах. Если утекший код также используется для сайтов других регионов, это может представлять серьезную угрозу для данных пользователей. Инфраструктура портала Госуслуг относятся к критической информационной инфраструктуре, особо охраняемой согласно закону 187-ФЗ от 2017 года.

По мнению специалистов, нынешняя уязвимость сайта была обусловлена неправильной конфигурацией хранилищ исходного кода, они находились в открытом репозитории (хранилище), где и были обнаружены исследователем «дыр» в безопасности. В теории, получив доступ к открытому коду, проще тестировать уязвимости, и в то же время, с помощью него можно осуществлять фишинговые атаки с целью похищения данных. Учитывая, что сайт был недоступен, вероятно, уязвимость устраняется или уже устранена.

Сайтом Госуслуг пользуется уже около 90 миллионов граждан с подтвержденной учетной записью. Еженедельно пользователи заказывают до 6,5 миллионов государственных сервисов в разных сферах деятельности. С помощью сайта можно, например, получить доступ как к электронным дневникам детей, так и к информации о налогах, штрафах, имуществе пользователя, медицинской информации (о прошедшей вакцинации или перенесенном заболевании Covid-19).

Представители Минцифры утверждают, что по федеральным и региональным порталам Гоуслуг был проведен мониторинг, показавший недостатки в работе только одного из региональных порталов, не имеющего пересечения исходных кодов с федеральным и другими региональными порталами. Персональным данным пользователей, таким образом, ничего не грозит, а углубленная проверка ресурсов электронного правительства не выявила наличия реальных угроз доступа злоумышленников к исходному коду.

Тем не менее специалисты по информационной безопасности однозначно рекомендуют всем пользователем Госуслуг и других значимых порталов установить двухфакторную авторизацию, которую Госуслуги планируют сделать обязательной для всех пользователей с 2022 года, подключить оповещение о входе на e-mail, а также время от времени менять пароль на новый, сложный, не использующийся для доступа к других сайтам.