Aa Aa Aa

Чиновников поймали на игнорировании правил информационной безопасности

Владимир Кондрашов
Чиновников поймали на игнорировании правил информационной безопасности

Открытые для чтения и записи папки с документами одного из подразделений регионального центра занятости были обнаружены хактивистами в открытом доступе. Всем желающим была открыта практически вся документация госструктуры за последние 9 лет, а диски как минимум несколько раз шифровали злоумышленники, требуя выкуп, но чиновников это ничему не научило. На одном устройстве, кроме, собственно, документов Центра занятости, также находится отчетность и рабочие данные компании, связанной с крупным ресторанным бизнесом.

81432221_2911743705531813_8591974787364945920_o.jpg (52 KB)

Об этом в рамках флешмоба #fuckresponsibledisclosure, направленного на выявление и публичное оповещение об уязвимостях государственных информационных ресурсов, сообщил известный украинский эксперт по кибербезопасности, ведущий разработчик компании ИТ-Лаборатория Александр Галущенко.  

Были обнаружены «проблемы» (если халатность можно так охарактеризовать) с безопасностью одного из подразделений Херсонского областного центра занятости.

– В диапазоне IP-адресов «Укртелекома» в районе часа дня увидели очень яркий хост с огромным количеством торчащих наружу расшаренных папок с разрешением на запись. 11 всего и 7 на запись. На выходе имеем госструктуру и компанию, уверенно чувствующую себя в ресторанном бизнесе. Смотрите картинки. Одна даже есть с грифом «Для служебного пользования». На общем компе, – написал Александр Галущенко.

81756952_2911745202198330_7333197770729193472_n.jpg (11 KB)

Как отметил эксперт, странным в ситуации выглядит не то, что данные госструктуры оказались в сети (за три года проведения флешмоба #fuckresponsibledisclosure, о котором мы неоднократно писали, это не редкость), а то, что рядом с этими данными хранится информация о частной компании:

–  Мы часто находим расшаренные папки, открытые FTP, пароли в самих веб страницах и все такое. Но тут вариант несколько отличается. На одной машине находится практически вся документация с центра занятости с 2010 года и одной из серьезных коммерческих фирм. Непонятно: или админ сделал бэкап, или кто-то «подрезал» информацию, или в одном помещении, вместе и с озорным рвением работает госслужащий и он же – удачливый бизнесмен, – резюмирует Александр Галущенко.

Как именно и зачем эта информация оказалась вместе, а также почему позже «всплыла» в открытом доступе – неизвестно. К слову, Херсонский областной центр занятости не так давно искал «специалиста по информационным технологиям» на зарплату в 3800 гривен.