В интернете выложили исходный код одного из региональных сайтов Госуслуг

От редакции. В оригинале говорилось, что слили исходный код Госуслуг — это не так, в интернете появился исходный код одного из региональных сайтов Госуслуг в Пензенской области. Госуслуги и .mos.ru с ним не связаны. Ущерба безопасности данным пользователей тоже нет.

Разработчики сервиса оставили каталоги .git на поддоменах *.mos.ru в открытом виде. Это позволило скачать исходный код и сертификаты ЕСИА из репозитория.

Логотип и слоган портала «Госуслуги»

Пользователь обнаруживший утечку обратился к сервису за вознаграждением. «Госуслуги» в ответ, запросили предоставить детали утечки и подтверждение, а также отметили, что программа вознаграждений отсутствует, но планируется создать Hall of Fame (стена славы), на которой будут отмечены имена внёсших особый вклад, после чего перестали отвечать совсем.

Изучение кода выявило, что утёкший исходный код относится к Региональному порталу госуслуг (РПГУ) Пензенской области. Также выяснилось, что «Госуслуги» созданы на движке «Битрикс», а система авторизации ЕСИА — на базе OpenID.

0
36 комментариев
Написать комментарий...
Ivan Off

Боже, ну что за м...даки.

Ответить
Развернуть ветку
Mike Ross

🔥🔥😅👍

Ответить
Развернуть ветку
Anna Petrova

А могут ещё и дело на этого активиста завести, т.к. кто главный подозреваемый? - правильно! Первый свидетель.

Ответить
Развернуть ветку
Дмитрий Струков

Недавно находил подобную уязвимость (не госуслуги). Вот общественное мнение https://qna.habr.com/q/1003037

Ответить
Развернуть ветку
Alexander Panasenkov

Как легко фейк разлетелся, проверять все равно никто не будет. В выложенных исходниках что-то похожее на региональный портал Пензенской области, никаких мос.ру и тем более госуслуг там нет.

Ответить
Развернуть ветку
Old Car Raffle

Вроде уже заявили, что этот git был регионального портала и с федеральным не пересекался.

Ответить
Развернуть ветку
Плоский шмель

И вообще он две недели назад уволился

Ответить
Развернуть ветку
Дмитрий Струков

Похоже на то, ибо в жизни не поверю что подобный проект можно сделать на битриксе.

Ответить
Развернуть ветку
Renat Abyasov

И якобы там фактически тонкий клиент до апишек больших госуслуг. То есть ничего из данных не должно было утечь

Ответить
Развернуть ветку
Ян Корвин

@Инспектор желтый фейковый заголовок, не соответствующий реальности.

Ответить
Развернуть ветку
Плоский шмель

@Инспектор пациент отрицает реальность

Update: у меня идея, скажи как надо написать, интересно стало

Ответить
Развернуть ветку
Ян Корвин

Надо писать по фактам, а не так, как тебе хочется.

Ответить
Развернуть ветку
Tv Box

Серты перевыпустят, нашедшего багу упекут на 10 лет строгого режима в hall of fame

Ответить
Развернуть ветку
Savalax

Так все уже привыкли к таким фэйлам. Не новость.

Ответить
Развернуть ветку
Плоский шмель

Я отказываюсь быть инертным, я за шумиху и огласку.

И штрафануть бы топов мэрии поимённо за эту утечку

Ответить
Развернуть ветку
Lexx Sky

Затравить в соцсетях!

Ответить
Развернуть ветку
Плоский шмель

Я так не играю, думал комменты будут, а всем насрать ((

Ответить
Развернуть ветку
Danila Poyarkov

А что тут скажешь?

Ответить
Развернуть ветку
Злобный Йожык

что всем насрать.

Ответить
Развернуть ветку
Grigoriy Malyshev

Я прочитал оригинальную статью за вас, держите саммари:

Ответить
Развернуть ветку
Grigoriy Malyshev

а, ну а, как известно: "битрикс - говно"

Ответить
Развернуть ветку
Grigoriy Malyshev

Что позволяет сделать косвенный вывод, что это не те исходники

Ответить
Развернуть ветку
Плоский шмель

Тогда ладно )) я спокоен 🖖🏼

Ответить
Развернуть ветку
Alexandr Svetlov

гoвнo, а прибыли растут

Ответить
Развернуть ветку
Борис Вишневский

Если утек только исходный код и сертификаты - данные клиентов, скорее всего, в безопасности. При условии, что сертификаты сразу отозвали, а к базам данных закрыт доступ из интернета

Ответить
Развернуть ветку
Aleksandr M

Автора-дегенерата навсегда в чёрный список

Ответить
Развернуть ветку
Pavel Ivanov

Скучно.

Вот, помню, в 2009 хакерам удалось скачать исходники тысяч крупных компаний по всему миру: https://habr.com/ru/post/70330/

Скомпроментированы были в том числе Яндекс, Рамблер, Мейл и Опера.

Тогда всех подвёл старый добрый SVN.

Сколько и кем исходников было скачано до обнародования уязвимости – можно только гадать. Доступны наружу были в том числе файлы с паролями и прочими чувствительными данными.

Ответить
Развернуть ветку
Желтый Король

Фейк!
Там какая-то совсем самая первая корявая сборка гавносайта на битриксе от типичной гавновебстудии которая менеджерит новичков 1-2 года опыта с кучей бесполезных классов, по принципу, лишь бы напихать побольше, время погонять, деньги освоить, показать клиенту этот кусок гавна, аля работа идет😅👍
Ничего там от госуслуг и более интересного нет

Ответить
Развернуть ветку
Mike Ross

К сожалению паспорт рф не имеет «золотой» ценности потому что относительно всё через жопу , принцип хапнуть и бежать . А не работать в долгосрок

Ответить
Развернуть ветку
Arty Cool

Щас всем кукоды обнулят

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Пилюль

Я думал они делают на Джумле поэтому так часто все лагает.

Ответить
Развернуть ветку
Пилюль

Я думал они делают на Джумле поэтому так часто все лагает.

Ответить
Развернуть ветку
Александр Шуренков

Всё же лучше, чем Битрикс.

Ответить
Развернуть ветку
Плоский шмель

@Андрей Фролов может заберёте себе новость?, ну типа как «спасибо за наводку», а то она мне что-то карман тянет.

Или грохните её лучше. Она уже протухла

Ответить
Развернуть ветку
СПб Коллекционер

Госуслуги это ангуляр 13

Ответить
Развернуть ветку
Читать все 36 комментариев
null