Накануне стало известно, что исходный код ресурса «Госуслуги» оказался в свободном доступе в Интернете. Хакер обнаружил открытый репозиторий, в котором находился исходный код портала в формате .git и в незашифрованном виде. После этого он выложил его на хакерский сайт Cybersec. Взломщик предварительно сообщил о вскрывшейся уязвимости в поддержку «Госуслуг», но там с ним быстро перестали общаться. Руководитель аналитического центра, специализирующегося на информационной безопасности, Zecurion Владимир Ульянов в интервью NEWS.ru рассказал насколько серьёзна эта ситуация, может ли она привести к утечке персональных данных и о том, почему подобных историй становится всё больше.
— Как стала возможна подобная утечка?
— Скорее всего вина всему — обычный человеческий фактор. В таких случаях это всегда либо кто-то просто ошибся в силу недостаточной компетентности или невнимательности и позволил коду быть раскрытым, либо это целенаправленная утечка информации со стороны тех, кто имеет доступ к исходному коду. Судя по тому, что нам известно, никакого злого умысла нет и произошла человеческая ошибка. Репозиторий был в открытом виде доступен снаружи.
— Хакер, обнаруживший это, рассказал, что обращался в поддержку «Госуслуг» и указывал на уязвимость, но вскоре ему перестали отвечать.
— Тут опять пресловутый человеческий фактор. Всё можно было исправить, но почему-то это не было сделано и почему — это уже вопрос к ответственным лицам. Да, есть такой феномен — этичные хакеры, сообщающие об уязвимости. Обычно всегда даётся какое-то время на исправление, и если этого не происходит, то информация выкладывается в открытый доступ. Не защищаю человека, который это сделал, но понять его, в принципе, можно.
— Все переживают, что это случилось именно с «Госуслугами». Выложенная информация позволяет получить доступ к данным обычных граждан.
— Насколько я могу судить — нет, не позволяет. Утечки пользовательских данных сейчас не произошло. Другое дело, что нельзя исключать того, что скомпрометированный код позволит злоумышленникам в будущем всё же получить к ним доступ. Это серьёзный прокол, которым нельзя пренебрегать и думать, что если сейчас нам повезло, то в будущем всё тоже будет хорошо. Сейчас код постараются быстренько переписать, однако тут вопрос гонки — не успеют ли злоумышленники быстрее, чем код перепишут, использовать его для своей выгоды? Переписать код — не тривиальная задача, требующая длительного времени. При этом сайт «Госуслуги», пусть даже и региональный, нельзя просто выключить. Им пользуются люди, осуществляется сервис. Речь, видимо, о работе в несколько дней.
— То, что это региональный сайт, играет роль в этой истории? Можно сказать, что региональные государственные сайты, порталы, хуже защищены, чем федеральные?
— Сложный вопрос. Обычно всё это решается на ведомственном уровне, и у разных структур и ведомств часто разные разработчики. У кого-то может быть один и тот же региональный и общефедеральный сайт, растиражированный. Что лучше, а что хуже, неочевидно. А уязвимости могут быть где и у чего угодно, а ещё, как мы уже говорили, вмешивается человеческий фактор. Сам код хорош, а из-за ошибки человека он скомпрометирован. Тем не менее, наверное, можно предположить, что на федеральном уровне работают специалисты чуть более высокого уровня. При этом само по себе более серьёзное, как это обычно бывает, финансирование на федеральном уровне не является гарантом и показателем лучшей защищённости.
— Создаётся впечатление, что в последнее время утечек с официальных порталов стало больше. Это так?
— Да, я разделяю это ощущение. Тут нужно учитывать несколько факторов. Первый из которых — всеобщий наш переход на цифровую платформу. Всё больше и больше информации в таком виде, при этом она более уязвима для различных атак. Сейчас, даже если вы заполняете бумажную анкету, она потом всё равно копируется в электронном виде. При этом не могу не отметить, что у нас появляется более серьёзное, более взрослое отношение к проблеме утечки информации. С одной стороны, люди перестают раскидываться своими персональными данными налево-направо. С другой — компании относятся к этой проблеме очень серьёзно. Причём на это отношение влияют не только штрафы со стороны регуляторов, но и иски от пострадавших. Часто эти иски коллективные, и в результате у компании получается отсудить очень приличную сумму.