Минцифры не обращало внимания на критическую уязвимость сайта Дія City
4 апреля на ресурсе ebanoe.it появился материал о найденной уязвимости на сайте с анонсом презентации «Дія City» Министерства цифровой трансформации Украины. Авторы пишут, что о недочете в безопасности ресурса узнали из анонимного письма по электронной почте. Редакция сайта проверила информацию и убедилась, что уязвимость есть и она критическая.
Напомним, что Министерство цифровой трансформации появилось в сентябре 2019 года. О себе ведомство пишет следующее: «Наша главная цель — построить самое удобное государство для граждан и бизнеса в мире». Главное детище министерства — портал и приложение «Дія».
Сегодня мы разберем проблему, обнаруженную на поддомене основного сайта Минцифры. Этот лендинг (одностраничный сайт) создан для назначенной на сегодня презентации «Дія City» — некого «специального правового режима для IT-индустрии, который позволит создать в Украине самый мощный IT-хаб в Центральной и Восточной Европе» (как пишут о проекте создатели).
Не хакеры, а халатность
Пройдемся по хронологии событий.
- 30 марта — на info@ebanoe.it приходит письмо об уязвимости.
По данным ресурса, дыра в безопасности существовала как минимум с 21 марта 2021 года. Авторы материала акцентируют внимание на том, что «никакого взлома не было, никто ничего не ломал», а «люди просто ознакомились с тем, что лежало в открытом доступе и на поверхности». И действительно важно то, что утечка произошла не по причине хакерских атак, а просто из-за халатности сотрудников «Дії».
В чем суть: по причине непрофессионализма команды разработчиков, в открытом доступе оказался репозиторий (хранилище данных) сайта, а также данные для входа в другие репозитории их проектов.
Если вдаваться в детали, то поисковик заиндексировал (зафиксировал в выдаче) коммит (последние внесенные в репозиторий изменения), что позволило проверить наличие корневой папки .git (ключевого хранилища) в свободном доступе и убедиться в этом.
В одной из папок редакция нашла логин, пароль и данные про способ аутентификации.
Авторы материала отмечают, что использование пароля в текстовой версии вместо токена (современное устройство для авторизации, похожее на флэшку) — еще один признак низкой квалификации программистов, поскольку уже в 2016 году стало известно о сопутствующих уязвимостях.
- 31 марта — команда ebanoe.it сообщает об этом на почту Минцифры.
Обращение было отправлено на две почты: security@diia.gov.ua (электронка по вопросам безопасности «Дії») и hello@thedigital.gov.ua (контактный имейл Министерства цифровой трансформации).
- 1 апреля редакция портала столкнулась с игнорированием их письма. Спустя примерно 15 часов ebanoe.it с целью привлечь внимание государственного органа к проблеме разместил соответствующую публикацию на своей странице Facebook.
В 17:00 приходит ответ со второй почты, на которую было отправлено письмо:
«Добрый день! Обратитесь в службу поддержки Дія в чат бот или на электронную support@thedigital.gov.ua».
На такое сообщение авторы статьи отреагировали возмущенно: мол, «им на блюдечке приносишь багхант», а они разворачивают и отправляют в другие инстанции. В статье подчеркивается, что если любое учреждение уведомляют о потенциальной или существующей проблеме с безопасностью, то стоит бить в колокола, ведь это в его же интересах.
Вопреки такой холодной встрече, информацию по указанной почте таки переслали.
- 1 апреля — в 20:00 приходит ответ от security@diia.gov.ua.
Этот ответ тоже не отличился красноречивостью или признательностью за указание на серьезный недочет в секьюрити-системе:
«Спасибо за информацию».
- 2 апреля — по состоянию на 10:00 дыру залатали.
Хранилище скрыли. Работоспособность опубликованных паролей авторы статьи не проверяли, но надеятся на то, что их поменяли.
О чем говорит этот кейс
Если бы речь шла об обычной частной компании, этот случай не представлял бы никакого интереса. Но мы говорим о государственной структуре, на плечи которой возложили диджитализацию Украины. Сейчас в ведении Минцифры находится около 20 проектов и еще 100 запланированы до конца 2021 года. Все эти проекты финансируются из госбюджета.
«Дія City» позиционируется как площадка для IT-индустрии, которая позволит быстро реализовывать самые амбициозные инновационные и бизнес-идеи и эффективно их внедрять. Однако о какой эффективности и инновационности может идти речь, если программисты самого проекта не могут обеспечить базовую защиту безопасности? Вопрос риторический, но очень показательный.