Внутрішні документи порталу «Держпослуги» виявилися доступні будь-якому бажаючому по простий ссылке без будь-якого контролю доступу. Уразливість виявлена в Систему міжвідомчого електронного взаємодії (СМЕВ).
Василь Парфьонов
Згідно з інформацією «МБХ Медіа», на пролом в безпеці порталу звернув увагу фахівець з кібербезпеки і керівник компанії Vee Security Олександр Литреев. Для того, щоб отримати доступ до службових документів «Держпослуг» достатньо перейти по посиланню виду «http://smev.gosuslugi.ru/portal/api/files/get/00000», де замість нулів на кінці — номер документа.
Скріншот документа, доступного за посиланням smev.gosuslugi.ru/portal/api/files/get/1120
Перевіряючи цю інформацію, «Популярна механіка» змогла завантажити безкоштовно і швидко вивчити керівництво користувача СМЕВ в редакції «Росспоживнагляду», а також таблицю з адресами серверів для надсилання запитів WSDL — за цим протоколом, судячи з усього, забезпечується міжвідомчий обмін даними. Файл «МВ відповідальні», в якому, за словами Литреева, міститься велика кількість контактних даних високопоставлених осіб, виявився недоступний.
Заглушка на сайті smev.gosuslugi.ru/portal/api/files/get/00000
У більшості випадків при спробі ввести будь-яке число в кінці посилання, сайт виводив повідомлення «Технологічний портал СМЕВ обмежено доступний». Невідомо, чи є це показником прийнятих «Госуслугами» заходів щодо усунення недоліку, або ж портал завжди так працював. Коментарів від представників головного довідково-інформаційного ресурсу країни не надходило.
Без відповіді залишається питання, наскільки істотна інформація була доступна будь-якому бажаючому і встиг їй хтось скористатися, а також, наскільки захищеними є міжвідомчі канали обміну інформацією. Можливо, протягом кількох років персональні дані мільйонів росіян були під загрозою, всупереч запевненням про високу безпеку порталу «Держпослуги». Система СМЕВ працює з 2010 року, в числі іншого, дає можливість громадянам не носити одні і ті ж документи в різні відомства, а також самим відомствам робити запит необхідної інформації про заявника без його участі.
Thanks!
Our editors are notified.