В безопасности «Госуслуг» обнаружена давняя брешь

0

Внутренние документы портала «Госуслуги» оказались доступны любому желающему по простой ссылке без какого-либо контроля доступа. Уязвимость обнаружена в Системе межведомственного электронного взаимодействия (СМЭВ).

Согласно информации «МБХ Медиа», на брешь в безопасности портала обратил внимание специалист по кибербезопасности и руководитель компании Vee Security Александр Литреев. Для того, чтобы получить доступ к служебным документам «Госуслуг» достаточно перейти по ссылке вида «http://smev.gosuslugi.ru/portal/api/files/get/00000», где вместо нулей на конце — номер документа.

Проверяя эту информацию, «Популярная механика» смогла скачать и бегло изучить руководство пользователя СМЭВ в редакции “Роспотребнадзора”, а также таблицу с адресами серверов для отправки запросов WSDL — по этому протоколу, судя по всему, обеспечивается межведомственный обмен данными. Файл «МВ ответственные», в котором, по словам Литреева, содержится большое количество контактных данных высокопоставленных лиц, оказался недоступен.

В большинстве случаев при попытке указать любое число в конце ссылки, сайт выводил сообщение «Технологический портал СМЭВ ограниченно доступен». Неизвестно, является ли это показателем принятых «Госуслугами» мер по устранению недочета, либо же портал всегда так работал. Комментариев от представителей главного справочно-информационного ресурса страны не поступало.

Без ответа остается вопрос, насколько существенная информация была доступна любому желающему и успел ли ей кто-то воспользоваться, а также, насколько защищенными являются межведомственные каналы обмена информации. Возможно, на протяжении нескольких лет персональные данные миллионов россиян были под угрозой, вопреки заверениям о высокой безопасности портала «Госуслуги». Система СМЭВ работает с 2010 года и, в числе прочего, дает возможность гражданам не носить одни и те же документы в различные ведомства, а также самим ведомствам совершать запрос необходимой информации о заявителе без его участия.