Брешь в безопасности Дія City. Как МинЦифры игнорировало призывы устранить уязвимость

5 апреля 2021, 16:41 | Мнения

Минцифры не обращало внимания на критическую уязвимость сайта Дія City

4 апреля на ресурсе ebanoe.it появился материал о найденной уязвимости на сайте с анонсом презентации «Дія City» Министерства цифровой трансформации Украины. Авторы пишут, что о недочете в безопасности ресурса узнали из анонимного письма по электронной почте. Редакция сайта проверила информацию и убедилась, что уязвимость есть и она критическая.

Напомним, что Министерство цифровой трансформации появилось в сентябре 2019 года. О себе ведомство пишет следующее: «Наша главная цель — построить самое удобное государство для граждан и бизнеса в мире». Главное детище министерства — портал и приложение «Дія».

Сегодня мы разберем проблему, обнаруженную на поддомене основного сайта Минцифры. Этот лендинг (одностраничный сайт) создан для назначенной на сегодня презентации «Дія City» — некого «специального правового режима для IT-индустрии, который позволит создать в Украине самый мощный IT-хаб в Центральной и Восточной Европе» (как пишут о проекте создатели).

Не хакеры, а халатность

Пройдемся по хронологии событий.

 

  • 30 марта — на [email protected] приходит письмо об уязвимости.

По данным ресурса, дыра в безопасности существовала как минимум с 21 марта 2021 года. Авторы материала акцентируют внимание на том, что «никакого взлома не было, никто ничего не ломал», а «люди просто ознакомились с тем, что лежало в открытом доступе и на поверхности». И действительно важно то, что утечка произошла не по причине хакерских атак, а просто из-за халатности сотрудников «Дії».

В чем суть: по причине непрофессионализма команды разработчиков, в открытом доступе оказался репозиторий (хранилище данных) сайта, а также данные для входа в другие репозитории их проектов.

Если вдаваться в детали, то поисковик заиндексировал (зафиксировал в выдаче) коммит (последние внесенные в репозиторий изменения), что позволило проверить наличие корневой папки .git (ключевого хранилища) в свободном доступе и убедиться в этом.

Брешь в безопасности Дія City. Как МинЦифры игнорировало призывы устранить уязвимость - 1 - изображение

В одной из папок редакция нашла логин, пароль и данные про способ аутентификации.

Брешь в безопасности Дія City. Как МинЦифры игнорировало призывы устранить уязвимость - 2 - изображение 

Авторы материала отмечают, что использование пароля в текстовой версии вместо токена (современное устройство для авторизации, похожее на флэшку) — еще один признак низкой квалификации программистов, поскольку уже в 2016 году стало известно о сопутствующих уязвимостях.

 

  • 31 марта — команда ebanoe.it сообщает об этом на почту Минцифры.

Обращение было отправлено на две почты: [email protected] (электронка по вопросам безопасности «Дії») и [email protected] (контактный имейл Министерства цифровой трансформации).

 

  • 1 апреля редакция портала столкнулась с игнорированием их письма. Спустя примерно 15 часов ebanoe.it с целью привлечь внимание государственного органа к проблеме разместил соответствующую публикацию на своей странице Facebook.

Брешь в безопасности Дія City. Как МинЦифры игнорировало призывы устранить уязвимость - 3 - изображение

В 17:00 приходит ответ со второй почты, на которую было отправлено письмо:

«Добрый день! Обратитесь в службу поддержки Дія в чат бот или на электронную [email protected]».

На такое сообщение авторы статьи отреагировали возмущенно: мол, «им на блюдечке приносишь багхант», а они разворачивают и отправляют в другие инстанции. В статье подчеркивается, что если любое учреждение уведомляют о потенциальной или существующей проблеме с безопасностью, то стоит бить в колокола, ведь это в его же интересах.

Вопреки такой холодной встрече, информацию по указанной почте таки переслали.

 

Этот ответ тоже не отличился красноречивостью или признательностью за указание на серьезный недочет в секьюрити-системе:

«Спасибо за информацию».

 

  • 2 апреля — по состоянию на 10:00 дыру залатали.

Хранилище скрыли. Работоспособность опубликованных паролей авторы статьи не проверяли, но надеятся на то, что их поменяли.

О чем говорит этот кейс

Если бы речь шла об обычной частной компании, этот случай не представлял бы никакого интереса. Но мы говорим о государственной структуре, на плечи которой возложили диджитализацию Украины. Сейчас в ведении Минцифры находится около 20 проектов и еще 100 запланированы до конца 2021 года. Все эти проекты финансируются из госбюджета.

«Дія City» позиционируется как площадка для IT-индустрии, которая позволит быстро реализовывать самые амбициозные инновационные и бизнес-идеи и эффективно их внедрять. Однако о какой эффективности и инновационности может идти речь, если программисты самого проекта не могут обеспечить базовую защиту безопасности? Вопрос риторический, но очень показательный.

Lifestyle