Вывод: утечки реально происходят, но не через «официальные серверы Госуслуг», а через региональные или сторонние разработки. Если бы Минцифры реально захотело «патриотично» (импортозамещенно), пришлось бы:
Досье: где «непатриотичность» — от деклараций до реального «что подноготном»
1. Утечки из региональных систем — без участия «Макса» или Госуслуг
- В ХМАО (Югре) региональное приложение «Госуслуги Югры» разместили на Elasticsearch, и из-за ошибки в конфигурации данные граждан оказались в открытом доступе. Минкомсвязи проводит проверку.
itsec.ru - Депутат Делягин в 2023 году обнаружил утечку персональных данных депутатов и руководителей из Telegram-бота, связанного с «Госуслугами» — база включала номера, адреса, номера машин.
Москва 24
Вывод: утечки реально происходят, но не через «официальные серверы Госуслуг», а через региональные или сторонние разработки.
2. Мессенджер MAX — «нацмессенджер» под прицелом ИБ-экспертов
- ФСБ выдало масштабный список замечаний к MAX: риски утечки ПДн, требования модели угроз, слух шифрования на уровне ФСБ, аудит сертифицированными средствами и даже предоставление исходников.
The InsiderAdIndex - Пока не следует подключать MAX к Госуслугам, несмотря на планы, — по версии Faridaily.
The Insider - По данным СМИ, приложение собирает: возраст, пол, контактные данные, идентификаторы соцсетей, события (входы, действия), требует доступ к камере, микрофону, геолокации, буферу обмена, приложениям, биометрии и т.д.
Novaya Gazeta EuropeAnti-Malware.ru - Зафиксированы подозрения в утечке данных за границу, использование кода из «недружественных стран» (uCrop из Украины и другие), сбор буфера обмена, списка установленных приложений и пересылка этих данных на внешние сервера.
Anti-Malware.ruTproger - В политике конфиденциальности — признание, что данные могут передаваться партнёрам и силовым структурам.
Википедия - Проект подвергся критике: отсутствие сквозного шифрования, двухфакторной аутентификации, секретных чатов; стабильность и приватность вызывают вопросы.
Tproger
3. Использование «чужого» кода — в «национальном» проекте
- В приложении найдены библиотеки из Украины, США, Польши: например, uCrop от Yalantis.
Tproger - Исследователи безопасности указывают, что сторонние SDK, даже если они не дают очевидных утечек, создают зону риска — в составе могут быть уязвимости или скрытая телеметрия.
arXiv
4. Масштаб утечек по стране — системный фон
- По данным TAdviser: с февраля 2024 произошло 29 утечек (в т.ч. пароли), общий объём — более 11 млн строк.
Тадвизор - Отдельно: утёк исходный код платформы Госуслуг, о чём писала «Forbes» — правда, официально утечка не подтверждена, но признан риск.
Forbes
Если бы Минцифры реально захотело «патриотично» (импортозамещенно), пришлось бы:
- строить свой реестр библиотек с гарантиями обновлений,
- запретить все SDK с внешней телеметрией,
- жёстко карать подрядчиков за размещение тестов в чужих облаках,
- ввести обязательные независимые аудиты ИБ и ИИ.
