Брешь в безопасности Дія City. Как МинЦифры игнорировало призывы устранить уязвимость

5 апреля 2021, 16:41 | Мнения

Минцифры не обращало внимания на критическую уязвимость сайта Дія City

4 апреля на ресурсе ebanoe.it появился материал о найденной уязвимости на сайте с анонсом презентации «Дія City» Министерства цифровой трансформации Украины. Авторы пишут, что о недочете в безопасности ресурса узнали из анонимного письма по электронной почте. Редакция сайта проверила информацию и убедилась, что уязвимость есть и она критическая.

Напомним, что Министерство цифровой трансформации появилось в сентябре 2019 года. О себе ведомство пишет следующее: «Наша главная цель — построить самое удобное государство для граждан и бизнеса в мире». Главное детище министерства — портал и приложение «Дія».

Сегодня мы разберем проблему, обнаруженную на поддомене основного сайта Минцифры. Этот лендинг (одностраничный сайт) создан для назначенной на сегодня презентации «Дія City» — некого «специального правового режима для IT-индустрии, который позволит создать в Украине самый мощный IT-хаб в Центральной и Восточной Европе» (как пишут о проекте создатели).

Не хакеры, а халатность

Пройдемся по хронологии событий.

 

  • 30 марта — на [email protected] приходит письмо об уязвимости.

По данным ресурса, дыра в безопасности существовала как минимум с 21 марта 2021 года. Авторы материала акцентируют внимание на том, что «никакого взлома не было, никто ничего не ломал», а «люди просто ознакомились с тем, что лежало в открытом доступе и на поверхности». И действительно важно то, что утечка произошла не по причине хакерских атак, а просто из-за халатности сотрудников «Дії».

В чем суть: по причине непрофессионализма команды разработчиков, в открытом доступе оказался репозиторий (хранилище данных) сайта, а также данные для входа в другие репозитории их проектов.

Если вдаваться в детали, то поисковик заиндексировал (зафиксировал в выдаче) коммит (последние внесенные в репозиторий изменения), что позволило проверить наличие корневой папки .git (ключевого хранилища) в свободном доступе и убедиться в этом.

Брешь в безопасности Дія City. Как МинЦифры игнорировало призывы устранить уязвимость - 1 - изображение

В одной из папок редакция нашла логин, пароль и данные про способ аутентификации.

Брешь в безопасности Дія City. Как МинЦифры игнорировало призывы устранить уязвимость - 2 - изображение 

Авторы материала отмечают, что использование пароля в текстовой версии вместо токена (современное устройство для авторизации, похожее на флэшку) — еще один признак низкой квалификации программистов, поскольку уже в 2016 году стало известно о сопутствующих уязвимостях.

 

  • 31 марта — команда ebanoe.it сообщает об этом на почту Минцифры.

Обращение было отправлено на две почты: [email protected] (электронка по вопросам безопасности «Дії») и [email protected] (контактный имейл Министерства цифровой трансформации).

 

  • 1 апреля редакция портала столкнулась с игнорированием их письма. Спустя примерно 15 часов ebanoe.it с целью привлечь внимание государственного органа к проблеме разместил соответствующую публикацию на своей странице Facebook.

Брешь в безопасности Дія City. Как МинЦифры игнорировало призывы устранить уязвимость - 3 - изображение

В 17:00 приходит ответ со второй почты, на которую было отправлено письмо:

«Добрый день! Обратитесь в службу поддержки Дія в чат бот или на электронную [email protected]».

На такое сообщение авторы статьи отреагировали возмущенно: мол, «им на блюдечке приносишь багхант», а они разворачивают и отправляют в другие инстанции. В статье подчеркивается, что если любое учреждение уведомляют о потенциальной или существующей проблеме с безопасностью, то стоит бить в колокола, ведь это в его же интересах.

Вопреки такой холодной встрече, информацию по указанной почте таки переслали.

 

Этот ответ тоже не отличился красноречивостью или признательностью за указание на серьезный недочет в секьюрити-системе:

«Спасибо за информацию».

 

  • 2 апреля — по состоянию на 10:00 дыру залатали.

Хранилище скрыли. Работоспособность опубликованных паролей авторы статьи не проверяли, но надеятся на то, что их поменяли.

О чем говорит этот кейс

Если бы речь шла об обычной частной компании, этот случай не представлял бы никакого интереса. Но мы говорим о государственной структуре, на плечи которой возложили диджитализацию Украины. Сейчас в ведении Минцифры находится около 20 проектов и еще 100 запланированы до конца 2021 года. Все эти проекты финансируются из госбюджета.

«Дія City» позиционируется как площадка для IT-индустрии, которая позволит быстро реализовывать самые амбициозные инновационные и бизнес-идеи и эффективно их внедрять. Однако о какой эффективности и инновационности может идти речь, если программисты самого проекта не могут обеспечить базовую защиту безопасности? Вопрос риторический, но очень показательный.

Статьи по теме
Топ-10: подборка лучших фильмов и сериалов о космосе Топ-10: подборка лучших фильмов и сериалов о космосе
12 апреля 2021, 14:12 | Hi-tech
“Хоть здесь за державу не обидно”: реакция соцсетей на обнаженных украинок в Дубае “Хоть здесь за державу не обидно”: реакция соцсетей на обнаженных украинок в Дубае
6 апреля 2021, 10:38 | Курьезы
Доклад Госдепа США о нарушениях прав человека в Украине: почему никто не освещает правду Доклад Госдепа США о нарушениях прав человека в Украине: почему никто не освещает правду
2 апреля 2021, 13:57 | Мнения
Новый украинский: осідок, мармизка и кришмітка. Как IT-шники борются с англицизмами Новый украинский: осідок, мармизка и кришмітка. Как IT-шники борются с англицизмами
1 апреля 2021, 12:23 | Мнения
В день рождения СБУ — пара слов о будущей реформе ведомства В день рождения СБУ — пара слов о будущей реформе ведомства
25 марта 2021, 16:04 | Мнения
“Шоу должно продолжаться”: реакция соцсетей на подозрение в госизмене Николаю Азарову “Шоу должно продолжаться”: реакция соцсетей на подозрение в госизмене Николаю Азарову
25 марта 2021, 13:11 | Мнения
К чему приведет национализация “Мотор Сичи”? Мнения экспертов К чему приведет национализация “Мотор Сичи”? Мнения экспертов
25 марта 2021, 12:25 | Мнения
Пару слов о недееспособности правоохранительной и судебной системы Украины на примере погрома Офиса президента Пару слов о недееспособности правоохранительной и судебной системы Украины на примере погрома Офиса президента
24 марта 2021, 15:07 | Мнения
Lifestyle