Розыскные данные МВД Украины могут быть сфальсифицированы хакерами
Благодаря уязвимости, любой пользователь с помощью нехитрых манипуляций мог редактировать информацию из розыскных учетов Министерства внутренних дел Украины – удалять и добавлять информацию о разыскиваемых преступниках, пропавших без вести, неопознанных трупах, разыскиваемых транспортных средствах, оружии и прочем. При этом, уязвимости не заметили ни в МВД, ни в Государственном агентстве по вопросам электронного правительства.
Об этом на своей странице в Facebook сообщил экс-спикер Украинского киберальянса, участник группировки RUH8, известный в сети под ником Шон Таунсенд, передает InternetUA.
Согласно опубликованной информации, скомпрометированы ключ и формы загрузки для розыскных баз МВД.
– Сегодня один из наших волонтёров показал мне прекрасное. Раньше мы находили дыры в министерствах по одному, а теперь два сразу. Министерством внутренних дел и Государственным агентством по вопросам электронного управления Украины скомпрометированы ключи и формы загрузки для розыскных баз МВД. Всё найдено в открытом доступе, при помощи поиска в сети Интернет, – написал Шон Таунсенд. – Туда можно кого-нибудь добавить. Или, наоборот, кого-нибудь убрать.
В комментарии нашему журналисту участник RUH8 уточнил, что одна уязвимость теоретически позволяла скачать файл с розыскной базой МВД, исправить его, и с помощью «засвеченного» API-ключа, полученного Министерством внутренних дел от Государственного агентства по вопросам электронного правительства ( засвеченного прямо в URL на скачивание архива с открытыми данными МВД с Портала открытых данных – Ред.), снова залить на сервер Портала открытых данных.
Кроме того, также обнаружена теоретическая возможность (проверка этой возможности чревата уголовным преследованием – Ред.) залить измененные данные в систему МВД без пароля и регистрации.
– На том сервере стоит скрипт, который загружает данные из МВД в Е-ГОВ, и он светит ключ. Можно взять этот ключ и загрузить данные. Это единственный там механизм защиты. – объяснил Шон Таунсенд. – «Попались» и МВД и Агентство по вопросам электронного правительства, ведь именно из портала открытых данных эти сведения берут все остальные, например банки, а, может, и пограничники. Я не знаю деталей, но можно подправить базу розыска, а такие «мега-косяки» редко встречаются.
Шон Таунсенд также отметил, что за несколько часов до его публикации о проблеме были оповещены компетентные органы.
На данный момент на сайте МВД Украины указаны дата и время последнего обновления – большинство баз были обновлены 25 июня после 19-00. Отметим, что, согласно официального сообщения на сайте МВД, онлайн-база является копией официальной базы МВД.