ЦИК «наехала» на хакеров, которые нашли уязвимости на её сайте

Владимир Кондрашов
ЦИК «наехала» на хакеров, которые нашли уязвимости на её сайте

Спустя сутки после того, как в рамках акции #FuckResponsibleDisclosure спикер Украинского киберальянса, известный под ником Шон Таусенд, сообщил об XSS-уязвимости на сайте Государственного реестра избирателей, в Центризбиркоме разразились гневной тирадой о недостоверной информации. И вновь напоролись на критику от специалистов по кибербезопасности.

Об этом пишет InternetUA.

Напомним, как ранее уже сообщал наш портал, на сайте Государственного реестра избирателей ЦИК Украины была обнаружена XSS-уязвимость – тип уязвимости программного обеспечения, который позволяет атакующему внедрить клиентский сценарий в web-страницы, просматриваемые другими пользователями. По словам спикера УКА, даже обнаруженной уязвимости достаточно, чтобы «убедительно нарисовать любое дурацкое заявление» на сайте и, хотя через веб-сайт реестра избирателей невозможно попасть в сам реестр, это показывает отношение к информационной безопасности в ЦИК.

В ответ на обнаруженную уязвимость ЦИК издала заявление, в котором назвала Украинский киберальянс «малоизвестной организацией, которая пытается ассоциировать себя с кибербезопасностью», а само заявление – «неуклюжей попыткой обвинить специалистов ГРИ в некомпетентности и поставить под сомнение надлежащий уровень защищенности сайта Реестра».

– Никакого несанкционированного проникновения в информационные ресурсы Центральной избирательной комиссии не произошло. Все информационные системы работают в штатном режиме. А очередная попытка приклеить уже ни в кого не вызывающий доверия ярлык «зрада» к работе Комиссии и Государственного реестра избирателей превратилась в тривиальную самодискредитацию некомпетентного автора, – заявили в ЦИК.

Как уточнил в комментариях руководитель Службы распорядителя Государственного реестра избирателей Александр Стельмах, потенциальную уязвимость исправили в течение 10 минут после обнаружения. По его словам, уязвимость позволяла запустить скрипт только на клиенте, и не является чувствительной для сайта.

Заявление Центральной избирательной комиссии и комментарии Александра Стельмаха вызвали новую волну критики в адрес чиновников от украинских ИБ-специалистов:

– Запуск скрипта на клиенте – это тоже угроза. Это потенциальная возможность украсть куки. Кроме того, это признак того, что авторы вашего сайта не используют общеизвестные движки (где защита от XSS встроенный) и не имеют нормального организованного аудита своей работы (XSS обнаружил бы даже Junior, а, значит, не смотрел и сейчас). В системе есть и фундаментальные баги, – считает Владимир Корнийчук.

– ЦВК, вы правда такие идиоты, какими хотите казаться, или это у вас тактика такая? Специалисты в области кибербезопасности нашли у вас серьезную проблему и честно предупредили о ней. В ответ вы устроили позорную пляску с оскорблениями и повели себя как последние му**ки. На этом вам надо остановиться и начать сотрудничать со специалистами. Если не хотите потом в тюрьму сесть, когда чужие хакеры, а не свои, утащат у вас базу избирателей (не сомневаюсь, что они это уже сделали, просто еще никто это не расследовал) и сфальсифицируют результаты выборов. На данный момент вы просто очень глупые му**ки. Ждем иных новостей про вас, – пишет Иван Лапченко.

Кроме того, у специалистов возникли вопросы к авторизации пользователя на портале и «работе» несуществующего уже почтовика ЦИК.