В безопасности «Госуслуг» обнаружена давняя брешь

Наука и техника

Внутренние документы портала «Госуслуги» оказались доступны любому желающему по простой ссылке без какого-либо контроля доступа. Уязвимость обнаружена в Системе межведомственного электронного взаимодействия (СМЭВ).

Василий Парфенов

В безопасности «Госуслуг» обнаружена давняя брешь

Согласно информации «МБХ Медиа», на брешь в безопасности портала обратил внимание специалист по кибербезопасности и руководитель компании Vee Security Александр Литреев. Для того, чтобы получить доступ к служебным документам «Госуслуг» достаточно перейти по ссылке вида «http://smev.gosuslugi.ru/portal/api/files/get/00000», где вместо нулей на конце — номер документа.

В безопасности «Госуслуг» обнаружена давняя брешь

Скриншот документа, доступного по ссылке smev.gosuslugi.ru/portal/api/files/get/1120

Проверяя эту информацию, «Популярная механика» смогла скачать и бегло изучить руководство пользователя СМЭВ в редакции «Роспотребнадзора», а также таблицу с адресами серверов для отправки запросов WSDL — по этому протоколу, судя по всему, обеспечивается межведомственный обмен данными. Файл «МВ ответственные», в котором, по словам Литреева, содержится большое количество контактных данных высокопоставленных лиц, оказался недоступен.

В безопасности «Госуслуг» обнаружена давняя брешь

Заглушка на сайте smev.gosuslugi.ru/portal/api/files/get/00000

В большинстве случаев при попытке указать любое число в конце ссылки, сайт выводил сообщение «Технологический портал СМЭВ ограниченно доступен». Неизвестно, является ли это показателем принятых «Госуслугами» мер по устранению недочета, либо же портал всегда так работал. Комментариев от представителей главного справочно-информационного ресурса страны не поступало.

Без ответа остается вопрос, насколько существенная информация была доступна любому желающему и успел ли ей кто-то воспользоваться, а также, насколько защищенными являются межведомственные каналы обмена информации. Возможно, на протяжении нескольких лет персональные данные миллионов россиян были под угрозой, вопреки заверениям о высокой безопасности портала «Госуслуги». Система СМЭВ работает с 2010 года и, в числе прочего, дает возможность гражданам не носить одни и те же документы в различные ведомства, а также самим ведомствам совершать запрос необходимой информации о заявителе без его участия.

Читайте также:
Обнародованы фотографии взрыва ракеты Antares
Источник
Оцените статью
Популярный портал |Proexpress.com.ua| все самое интересное в Украине

Спасибо!

Теперь редакторы в курсе.