Госпортал электронной системы строительства оставил пароль от сервера в открытом доступе
Украинский специалист в области IT, Ярослав Гарагуц, обнаружил, что пароль от сервера с резервными копиями Портала державної електронної системи у сфері будівництва (e-construction.gov.ua) находится в открытом доступе. Об этом он сообщил на своей странице в Facebook. Фокус попросил Андрея Барановича, эксперта по кибербезопасности, прокомментировать данное "открытие".
"Есть "кабинет застройщика", или более официально "Портал державної електронної системи у сфері будівництва". У него есть сайт, позволяющий с этим кабинетом работать, и есть API (application programming interface, набор определений подпрограмм, протоколов взаимодействия и средств для создания программного обеспечения и дальнейшей работы с ним, — ред.) — интерфейс для автоматической работы. И если сделать к этому API самый простой запрос, то в ответ (помимо данных, которые открытые по умолчанию) вылетает пароль от сервера, на котором хранятся резервные копии данных Портала. Если получится найти этот сервер в Интернете, то можно ввести логин и пароль и скачать абсолютно всё", — пояснил эксперт.
"Супероткрытые" данные e-construction.gov.ua. Фото: скриншот из Facebook
По словам Барановича, даже, если это сервер находится во внутренней сети, а не в Интернете, все равно такая ситуация недопустима, так как является грубейшим нарушением правил кибербезопасности.
"В любом случае пароли никогда не должны появляться в открытом виде. Никогда. Тем более от сервера с резервными копиями. Это все равно, что дубликат ключа от банковской ячейки вывесить за двери. Такого быть не должно", — констатирует Андрей Баранович.
Вот комментарий Минцифры:
Портал Единой государственной электронной системы в сфере строительства (Строительный портал) был запущен в июле 2020 году в рамках экспериментального проекта. Проект был реализован в партнерстве Министерства цифровой трансформации, Министерства развития общин и территорий при поддержке проекта USAID / UK aid «Прозрачность и подотчетность в государственном управлении и услугах / TAPAS».
Сейчас Строительный портал работает в режиме "опытной эксплуатации" и постоянно развивается в соответствии с планом построения Единой государственной электронной системы в сфере строительства, а также регулярно проходит соответствующие pen-тесты на уязвимости.
Мы благодарны неравнодушным гражданам указанной временную ошибку в портале, которая не имеет характера критической уязвимости и не могла привести к потере данных.
Причиной возникновения инцидента стал режим отладки портала. После завершения которой которой, эту опцию отключены. Важно, что никто не имел и не имеет возможности получить посторонний доступ. Это не был пароль доступа к системе, и извне доступа нет. А данные не могли быть потеряны даже теоретически, потому что это резервная копия публичной части системы.
Следует отметить, что электронные строительные услуги для граждан и бизнеса реализовано на портале Действие, а не на Строительном портале. Поэтому персональные данные заявителей на нем не хранятся в принципе.
Мы всегда открыты для любой коммуникации и благодарны за каждый фидбэк по работе системы, который позволяет улучшать сервис и делать процесс строительства в Украине прозрачным и свободным от коррупции.