Госпортал электронной системы строительства оставил пароль от сервера в открытом доступе (обновлено)
Уязвимость обнаружил украинский специалист в области IT.
Украинский специалист в области IT, Ярослав Гарагуц, обнаружил, что пароль от сервера с резервными копиями Портала державної електронної системи у сфері будівництва (e-construction.gov.ua) находится в открытом доступе. Об этом он сообщил на своей странице в Facebook. Фокус попросил Андрея Барановича, эксперта по кибербезопасности, прокомментировать данное "открытие".
"Есть "кабинет застройщика", или более официально "Портал державної електронної системи у сфері будівництва". У него есть сайт, позволяющий с этим кабинетом работать, и есть API (application programming interface, набор определений подпрограмм, протоколов взаимодействия и средств для создания программного обеспечения и дальнейшей работы с ним, — ред.) — интерфейс для автоматической работы. И если сделать к этому API самый простой запрос, то в ответ (помимо данных, которые открытые по умолчанию) вылетает пароль от сервера, на котором хранятся резервные копии данных Портала. Если получится найти этот сервер в Интернете, то можно ввести логин и пароль и скачать абсолютно все", — пояснил эксперт.
По словам Барановича, даже, если это сервер находится во внутренней сети, а не в Интернете, все равно такая ситуация недопустима, так как является грубейшим нарушением правил кибербезопасности.
"В любом случае пароли никогда не должны появляться в открытом виде. Никогда. Тем более от сервера с резервными копиями. Это все равно, что дубликат ключа от банковской ячейки вывесить за двери. Такого быть не должно", — констатирует Андрей Баранович.
05 января 2021 года Фокус получил официальный комментарий от Минцифры. Приводим текст полностью:
"Портал Єдиної державної електронної системи у сфері будівництва (Будівельний портал) был запущен в июле 2020 года в рамках экспериментального проекта. Проект был реализован в партнерстве Министерства цифровой трансформации, Министерства развития общин и территорий при поддержке проекта USAID/UK aid "Прозрачность и подотчетность в государственном управлении и услугах/TAPAS".
Сейчас Будівельний портал работает в режиме "опытной эксплуатации" и постоянно развивается в соответствии с планом построения Єдиної державної електронної системи у сфері будівництва, а также регулярно проходит соответствующие pen-тесты на уязвимости.
Мы благодарны неравнодушным гражданам за указанную временную ошибку в портале, которая не имеет характера критической уязвимости и не могла привести к потере данных.
Причиной возникновения инцидента стал режим отладки портала, после завершения которой эту опцию отключили. Важно, что никто не имел и не имеет возможности получить сторонний доступ. Это не был пароль доступа к системе, и извне доступа нет. А данные не могли быть потеряны даже теоретически, потому что это резервная копия публичной части системы.
Следует отметить, что электронные строительные услуги для граждан и бизнеса реализованы на портале "Дія", а не на Будівельному порталі. Поэтому персональные данные заявителей на нем не хранятся в принципе.
Мы всегда открыты для любой коммуникации и благодарны за каждый фидбэк касательно работы системы, который позволяет улучшать сервис и делать процесс строительства в Украине прозрачным и свободным от коррупции".
-
![Telegram]()
отправить в Telegram
-
![Facebook]()
поделиться в Facebook
-
![Twitter]()
твитнуть
-
![Viber]()
отправить в Viber
-
![Whatsapp]()
отправить в Whatsapp
-
![Messenger]()
отправить в Messenger