Исследователи безопасности обнаружили, что исходный код «Госуслуг» мог быть скомпрометирован через взломанный региональный пензенский портал. Они обнаружили в утечке ключ доступа для связи с сервером Единой системы идентификации и аутентификации (ЕСИА), которая используется на федеральном и региональных порталах. Доступ к ключу дает привилегированные права в системе, предупреждают эксперты. В Минцифры уверяют, что утечка не повлияет на безопасность федерального портала, поскольку у него отличный от регионального исходный код.
Первой об утечке кода сообщила компания CyberSec, которая занимается защитой личных данных и проблемами компьютерной безопасности. Архив с исходным кодом весит 7 гигабайт, его обнаружил хакер Владислав Хорохорин.
В архиве находится исходный код регионального портала пензенских госуслуг, данные датированы 3 ноября этого года. При этом стоит учесть, что аналогичный код портала используют и другие регионы, что ставит под угрозу безопасность всего ресурса.
Также сообщается, что 27 декабря портал «Госуслуги» в пензенской области был недоступен. Отдельно стоит отметить ключ SSL-сертификата, обнаруженный в архиве, он позволяет осуществлять подключение к серверам системы ЕСИА. А сама по себе система ЕСИА позволяет авторизоваться пользователям на региональном и федеральном уровнях.
«Пароли, которые зашиты в утекший код, очень простые, и, если он распространен в других регионах, это представляет собой очень серьезную угрозу», — считают специалисты.
