В одном из государственных реестров Минюста обнаружили «дыру»

Владимир Кондрашов

В одном из государственных реестров, держателем которых является Министерство юстиции Украины, обнаружена уязвимость, позволяющая получить несанкционированный доступ к хранящейся в нем информации.

Об этом на своей странице в Facebook сообщил спикер Украинского киберальянса, известный в сети под ником Шон Таунсенд , передает InternetUA.

Сведения об уязвимости были опубликованы в рамках флешоба #fuckresponsibledisclosure (#frd).#FRD  – флешмоб, основанный Украинский кибеаральянсом ещё в 2017-м году, направленный на выявление и публичное раскрытие уязвимостей государственных (и не только) информационных ресурсов. За время существования волонтеры акции раскрыли данные и помогли закрыть уязвимости на сотнях информационных ресурсов органов государственной власти, местного самоуправления и объектах критической инфраструктуры. Благодаря активности участников #frd были не только открыты уголовные дела (как в случае с «Энергоатомом»), но и сохранены чувствительные данные, способные повлиять на жизнь и здоровье миллионов украинцев.

67931468_710768622704832_5005953703983710208_n.jpg (187 KB)

Согласно сообщению спикера УКА, на одном из реестров Минюста (каком именно –  не указано), была обнаружена уязвимость, позволяющая с помощью SQL-инъекция получить доступ к данным реестра.

SQL инъекция – один из распространенных способов взлома сайтов и программ, работающих с базами данных, основанный на внедрении в запрос произвольного SQL-кода. Внедрение SQL, в зависимости от типа СУБД и условий внедрения, может дать возможность атакующему выполнить произвольный запрос к базе данных (например, прочитать содержимое любых таблиц, удалить, изменить или добавить данные), получить возможность чтения и / или записи локальных файлов и выполнения произвольных команд на сервере.