На сайте ЦИК может повториться история с победой Яроша

Центральная избирательная комиссия, похоже, не усвоила урок по кибербезопасности после инцидента с «победой» Дмитрия Яроша на выборах президента Украины в 2014 году.

Об этом на своей странице в Facebook написал спикер Украинского киберальянса, известный под ником Шон Таусенд, передает InternetUA.

Согласно озвученной спикером УКА информации, на сайте Государственного реестра избирателей ЦИК Украины обнаружена XSS-уязвимость. XSS – тип уязвимости программного обеспечения, который позволяет атакующему внедрить клиентский сценарий в web-страницы, просматриваемые другими пользователями.

– Меня часто спрашивают, что я думаю о безопасности предстоящих выборов. И я думал, что история с «победой» Яроша в 2014 кого-то чему-то научила, и уж совсем идиотских ситуаций не предвидится. К сожалению, я ошибался, – написал Шон Таусенд. – Центральная избирательная комиссия, вам было мало предыдущего позора? Реестр избирателей - одна из ценнейших баз данных, а вы не можете сделать его так, чтобы от него на ходу запчасти не отваливались. Если сразу с первой страницы находится XSS, то страшно лезть внутрь, а то потом ведь в террористы запишите.

По словам спикера УКА, даже обнаруженной уязвимости достаточно, чтобы «убедительно нарисовать любое дурацкое заявление» на сайте ЦИК.

Судя по всему, это не единственная проблема сайта ЦИК.

– Принимая во внимание тот факт, что XSS присутствует в параметре запроса, я могу предположить, что по этому веб сайту даже нормальным автоматическим сканером уязвимостей не прошлись перед публикацией. Это очень и очень печально, – считает эксперт по кибербезопасности Владимир Стыран.

На аргумент, что через веб-сайт реестра избирателей невозможно попасть в сам реестр, Таусенд апеллирует:

– Прежде всего данная ситуация показывает отношение к информационной безопасности в ЦИК.  

Пока может радовать только тот факт, что результаты выборов в Украине считаются вручную, и системы, используемые ЦИК, носят лишь вспомогательный характер.