Минцифры официально прокомментировало информацию об утечке исходного кода сайта госуслуг. В ведомстве заявили, что портал работает в штатным режиме, а данные пользователей ресурса надёжно защищены. Тем не менее, исследователи безопасности заявляют, что утёкшие сертификаты могут позволить злоумышленникам проводить фишинговые атаки и похищать данные пользователей. Пока неясно, успели ли эти сертификаты отозвать и заменить.
В Минцифры заявили, что было организовано дополнительное отслеживание возможных атак на инфраструктуру региональных порталов госуслуг. Сообщается, что были найдены недостатки в работе одного из таких порталов, у которого не было доступа к данным федерального портала госуслуг. Тем не менее, угроз несанкционированного доступа к кодам обнаружено не было.
Первые сообщения о том, что исходный код «Госуслуг» утёк в Сеть появились рано утром 25 декабря. Анализ показал наличие в утёкшем коде сертификатов и множества ключевых ресурсов, которые могут заинтересовать злоумышленников. Как минимум с помощью исходником проще искать потенциальные уязвимости. Пользователь, который первым обнаружил утечку, сообщил, что команда «Госуслуг» попросила детально её описать, а затем перестала выходить на связь.
Сообщается, что утечка произошла из-за того, что разработчики не ограничили доступ к каталогу .git. Один из авторитетных исследователей безопасности заявил, что речь идёт об исходном коде регионального портала «Госуслуг» Пензенской области и пользовательские данные не были затронуты.
Источник: 3DNews