Госпортал электронной системы строительства оставил пароль от сервера в открытом доступе (обновлено)

ноутбук, кибербезопасность
Фото: unsplash.com

Уязвимость обнаружил украинский специалист в области IT.

Украинский специалист в области IT, Ярослав Гарагуц, обнаружил, что пароль от сервера с резервными копиями Портала державної електронної системи у сфері будівництва (e-construction.gov.ua) находится в открытом доступе. Об этом он сообщил на своей странице в Facebook. Фокус попросил Андрея Барановича, эксперта по кибербезопасности, прокомментировать данное "открытие".

"Есть "кабинет застройщика", или более официально "Портал державної електронної системи у сфері будівництва". У него есть сайт, позволяющий с этим кабинетом работать, и есть API (application programming interface, набор определений подпрограмм, протоколов взаимодействия и средств для создания программного обеспечения и дальнейшей работы с ним, — ред.) — интерфейс для автоматической работы. И если сделать к этому API самый простой запрос, то в ответ (помимо данных, которые открытые по умолчанию) вылетает пароль от сервера, на котором хранятся резервные копии данных Портала. Если получится найти этот сервер в Интернете, то можно ввести логин и пароль и скачать абсолютно все", — пояснил эксперт.

скриншот из Facebook Fullscreen
"Супероткрытые" данные e-construction.gov.ua
Фото: скриншот из Facebook

По словам Барановича, даже, если это сервер находится во внутренней сети, а не в Интернете, все равно такая ситуация недопустима, так как является грубейшим нарушением правил кибербезопасности.

"В любом случае пароли никогда не должны появляться в открытом виде. Никогда. Тем более от сервера с резервными копиями. Это все равно, что дубликат ключа от банковской ячейки вывесить за двери. Такого быть не должно", — констатирует Андрей Баранович.

05 января 2021 года Фокус получил официальный комментарий от Минцифры. Приводим текст полностью:

"Портал Єдиної державної електронної системи у сфері будівництва (Будівельний портал) был запущен в июле 2020 года в рамках экспериментального проекта. Проект был реализован в партнерстве Министерства цифровой трансформации, Министерства развития общин и территорий при поддержке проекта USAID/UK aid "Прозрачность и подотчетность в государственном управлении и услугах/TAPAS".

Сейчас Будівельний портал работает в режиме "опытной эксплуатации" и постоянно развивается в соответствии с планом построения Єдиної державної електронної системи у сфері будівництва, а также регулярно проходит соответствующие pen-тесты на уязвимости.

Мы благодарны неравнодушным гражданам за указанную временную ошибку в портале, которая не имеет характера критической уязвимости и не могла привести к потере данных.

Причиной возникновения инцидента стал режим отладки портала, после завершения которой эту опцию отключили. Важно, что никто не имел и не имеет возможности получить сторонний доступ. Это не был пароль доступа к системе, и извне доступа нет. А данные не могли быть потеряны даже теоретически, потому что это резервная копия публичной части системы.

Следует отметить, что электронные строительные услуги для граждан и бизнеса реализованы на портале "Дія", а не на Будівельному порталі. Поэтому персональные данные заявителей на нем не хранятся в принципе.

Мы всегда открыты для любой коммуникации и благодарны за каждый фидбэк касательно работы системы, который позволяет улучшать сервис и делать процесс строительства в Украине прозрачным и свободным от коррупции".

Ранее Фокус пояснял, удастся ли хакерам "в белых шляпах" взломать приложение "Дия", с какой целью это делается и к чему приведет.