Исходный код Госуслуг оказался в открытом доступе
По словам специалистов, исходник находился в открытом репозитории. Мошенники имели возможность не только находить новые уязвимости, проникнув в систему, но и проводить фишинговые кампании с целью кражи персональной информации пользователей.
Представители Госуслуг отметили, что на данный момент ошибка полностью устранена, при этом опасная уязвимость не затронула сайт в общефедеральном масштабе – пострадал только пензенский портал.
Эксперты настроены не столь оптимистично, так как в числе файлов, оказавшихся в открытом доступе, находились ключи доступа к ЕСИА, серверу, при помощи которого хакер мог бы получить более широкие полномочия в сфере управления внутренней системой портала. Учитывая тот факт, что в слитой базе обнаружились также ключи SSL-сертификата, вероятность того, что мошенники могли нанести вред системе не только на региональном, но и на федеральном уровне, многократно возрастает.
Несмотря на заверения сотрудников Госуслуг, специалисты рекомендуют пользователям системы активировать двухфакторную аутентификацию, подключить e-mail-оповещения и заменить пароль более сложным ключом. Также эксперты в сфере ИБ не рекомендуют использовать один и тот же пароль для разных учётных записей на ресурсах.
Представители Госуслуг отметили, что с начала 2022 года двухфакторная аутентификация станет обязательной для посетителей портала.