Aa Aa Aa

На сайте ЦИК семь месяцев не могли закрыть опасную уязвимость

Владимир Кондрашов
На сайте ЦИК семь месяцев не могли закрыть опасную уязвимость

На сайте Центральной избирательной комиссии как минимум семь месяцев просуществовала опасная уязвимость, которая позволяла атакующему внедрить клиентский сценарий в web-страницы, просматриваемые другими пользователями.

Об этом журналисту InternetUA сообщил спикер Украинского киберальянса, известный в сети под ником Шон Таунсенд.

Напомним, 21 августа прошлого года мы сообщали, что хактивисты обнаружили на сайте Государственного реестра избирателей ЦИК XSS-уязвимость – тип уязвимости программного обеспечения, который позволяет атакующему внедрить клиентский сценарий в web-страницы, просматриваемые другими пользователями. Благодаря этой уязвимости, злоумышленники могли  «убедительно нарисовать любое дурацкое заявление» на сайте ЦИК – например, изобразить для российских СМИ очередную «победу Яроша», как это было сделано в 2014-м. Тогда же спикер УКА отмечал, что несмотря на то, что через веб-сайт реестра избирателей невозможно попасть в сам реестр, обнаруженное прежде всего показывает отношение к информационной безопасности в ЦИК.

22 августа в Центризбиркоме выступили с заявлением, в котором назвала Украинский киберальянс «малоизвестной организацией, которая пытается ассоциировать себя с кибербезопасностью», а само заявление – «неуклюжей попыткой обвинить специалистов ГРИ в некомпетентности и поставить под сомнение надлежащий уровень защищенности сайта Реестра».

Уже на следующий день после "ответа", 23 августа, на сайте ЦИК (теперь уже на основном – Ред.) также была обнаружена XSS-уязвимость.

О ней было поставлено в известность руководство Центризбиркома, но, как оказалось, «закрыли» брешь только за несколько дней до выборов, то есть, спустя семь месяцев с момента обнаружения, – после того, как наличие уязвимости обнаружил специалист по кибербезопасности под ником Ochumelec.  

– Всё это время дырка была на месте, её ещё один человек нашел повторно и пнул Стельмаха, только тогда и закрыли. На днях, – сообщил спикер Украинского киберальянса.

xss.jpg (30 KB)

Отметим также, что в марте этого года представители Центральной избирательной комиссии должны были отчитываться о кибербезопасности ЦИК перед депутатами-членами Комитета ВРУ по информатизации и связи, однако отчет, после переноса заседания Комитета, из повестки дня исчез.

ЦИК отчет.jpg (45 KB)

ЦИК ушел.jpg (52 KB)

Неофициально нашему изданию сообщили в Комитете, что в ЦИК слишком заняты, чтобы отчитываться.