На портале госуслуг была обнаружена уязвимость. Абсолютно вся база рабочих документов, касающихся интеграции, лежала в открытом доступе. Без шифрования, авторизации/аутентификации.
Госуслуги – это централизованный сервис взаимодействия с различными государственными службами и органами. Через него оформляется огромное количество документов. К системе подключены почти все
ведомства страны, в том числе ФСБ, министерство обороны и МВД.
Часть портала, в которой находилась уязвимость, отвечает за интеграцию данных из разных источников при помощи Системы Межведомственного Электронного Взаимодействия (СМЭВ). Через нее подключаются
все региональные и федеральные органы.
Специалист по безопасности Александр Литреев, который нашел эту проблему, заметил, что не составляет никакого труда написать скрипт, который обеспечит перебор всех адресов и выгрузит все
подобные документы.
В своем блоге Александр рассказал, как рассматривал документы и по какой ссылке это можно было сделать.
