Исходный код регионального портала «Госуслуг» Пензенской области утёк в сеть
Каталоги .git оставили на поддоменах *.mos.ru в открытом доступе и хакер Владислав Хорохорин успешно всё оттуда выкачал. Архив с исходниками весит 7 гигов — там сами госуслуги и сертификаты ЕСИА.
Безопасного кода не существует, а имея на руках исходники — гораздо проще искать уязвимости. С сертификатами ЕСИА злоумышленники смогут похитить данные россиян с помощью фишинга. Неизвестно, отозвали ли и заменили ли сертификаты на данный момент.
Администрацию Госуслуг предупреждали об уязвимости и раскрыли все её детали, но ответа не последовало.
UPD. К посту есть вопросы: #comment_221458340
почему "собянинские", если в ссылке pnzreg - пензенский регион?
Программа вознаграждения за поиск уязвимостей на государственных сайтах существует. С хакером Хорохориным скоро свяжутся и наградят 7-9 годами колонии строгого режима.
в новости про *.mos.ru, что ваще не госуслуги.
в скринах gosuslugi,pnzreg.ru - региональный портал госуслуг Пензенской области
А чё именно утекло-то? Если там исходники фронтенда, то толку от них чуть больше, чем от просмотра кода страницы через консоль браузера.
@moderator, давайте добавим, что к посту есть вопросы. Оригинальный пост - https://cybersec.org/hack/vzlom-gosusulug-hotya-kakoj-tam-vz.... Почему то там говорится про мос.ру, потом про госуслуги, а архив вообще с окончанием названия pnzreg, а pnzreg.ru - оффициальный сайт правительства пензенской области. Дальше - архив 7гб залит на анонимфайлс со скоростью отдачи 100 кб/с, его качать еще месяц, что там - непонятно, никто его еще не скачал, судя по всему