Внутренние документы портала «Госуслуги» оказались доступны любому желающему по простой ссылке без какого-либо контроля доступа. Уязвимость обнаружена в Системе межведомственного электронного взаимодействия (СМЭВ).
Согласно информации «МБХ Медиа», на брешь в безопасности портала обратил внимание специалист по кибербезопасности и руководитель компании Vee Security Александр Литреев. Для того, чтобы получить доступ к служебным документам «Госуслуг» достаточно перейти по ссылке вида «http://smev.gosuslugi.ru/portal/api/files/get/00000», где вместо нулей на конце — номер документа.
Скриншот документа, доступного по ссылке smev.gosuslugi.ru/portal/api/files/get/1120
Проверяя эту информацию, «Популярная механика» смогла скачать и бегло изучить руководство пользователя СМЭВ в редакции «Роспотребнадзора», а также таблицу с адресами серверов для отправки запросов WSDL — по этому протоколу, судя по всему, обеспечивается межведомственный обмен данными. Файл «МВ ответственные», в котором, по словам Литреева, содержится большое количество контактных данных высокопоставленных лиц, оказался недоступен.
Заглушка на сайте smev.gosuslugi.ru/portal/api/files/get/00000
В большинстве случаев при попытке указать любое число в конце ссылки, сайт выводил сообщение «Технологический портал СМЭВ ограниченно доступен». Неизвестно, является ли это показателем принятых «Госуслугами» мер по устранению недочета, либо же портал всегда так работал. Комментариев от представителей главного справочно-информационного ресурса страны не поступало.
Без ответа остается вопрос, насколько существенная информация была доступна любому желающему и успел ли ей кто-то воспользоваться, а также, насколько защищенными являются межведомственные каналы обмена информации. Возможно, на протяжении нескольких лет персональные данные миллионов россиян были под угрозой, вопреки заверениям о высокой безопасности портала «Госуслуги». Система СМЭВ работает с 2010 года и, в числе прочего, дает возможность гражданам не носить одни и те же документы в различные ведомства, а также самим ведомствам совершать запрос необходимой информации о заявителе без его участия.
Я соглашаюсь с правилами сайта
Мы отправили на ваш email письмо с подтверждением.