Накануне СМИ сообщали об уязвимости сайта, которая, как утверждалось, позволяет получить доступ к данным пользователей портала «Госуслуги»
Минцифры опровергло информацию об уязвимости, позволяющей злоумышленникам получать персональные данные граждан с реестра электронных повесток. В министерстве отметили, что для защиты портала используется несколько дополняющих друг друга мер безопасности, поэтому «его невозможно взломать».
Накануне СМИ сообщали об уязвимости на сайте реестра электронных повесток, которая, как утверждалось, позволяет получить доступ к данным пользователей портала «Госуслуги». Как именно это работает, не уточнялось.
Комментирует управляющий RTM Group, эксперт в области информационной безопасности и права в IT Евгений Царев:
Евгений Царев управляющий RTM Group, эксперт в области информационной безопасности и права в IT «Я сколько ни искал, так и не понял, в чем заключается уязвимость. В данном случае что происходит? Есть авторизация на сайте электронных повесток через портал «Госуслуги», это абсолютно стандартная история. Суть в том, что для того, чтобы сайту «Электронные повестки» понять, что вы — это вы и вообще кто вы такой, необходимо, чтобы сайт был «подружен» с вашим профилем на «Госуслугах», чтобы сайт «Госуслуг» передал часть информации в базу электронных повесток, тогда система сможет сопоставить вас и покажет вам дополнительную информацию. По такому принципу работает вся авторизация на «Госуслугах», на сайт mos.ru в Москве можно также получать доступ через «Госуслуги», нужно, чтобы мы все друг друга правильно понимали. Теоретически наличие каких-либо уязвимостей есть всегда в любой системе, это теоретическая история, а вот практически сделать таким образом систему, чтобы в ней дыры не находились, а если находились, то совершенно некритичные, сделать можно. Для этого безопасники применяют разные инструменты, например формат безопасной разработки, то есть, когда вы пишете какой-то код, есть определенные механизмы в процессе написания этого кода, которые будут приводить вас к более безопасному коду. Когда у вас готов итоговый продукт, вы можете провести тестирование на проникновение — это определенный набор действий в отношении информационной системы, готового кода, который эмулирует действия злоумышленников. То есть мы пытаемся поломать систему, притворяясь злоумышленником и используя его инструменты. Мы тестируем и в результате даем заключение. Как правило, большие серьезные проекты через это проходят, это не то же самое, что сделать обычный сайт, выложить его в интернет, а потом через неделю найти кучу дыр и уязвимостей. Все равно такие процедуры существуют, и они должны проводиться в проектах подобного масштаба».
Накануне в трех регионах — Республике Марий Эл, Сахалинской и Рязанской областях — в тестовом режиме заработал сайт Единого реестра воинского учета, через который в дальнейшем планируется уведомлять призывников о повестках.
Войти в реестр можно с помощью подтвержденной учетной записи на «Госуслугах», но пользователи сообщали о сбоях.