В «Дія City» существовала критическая уязвимость для кражи данных

Прослушать статью (бета)

Как сообщает специализированный портал ebanoe.it, халатность и непрофессионализм команды, работающей над «Дiя City», привела к тому, что на ресурсе dc.diia.gov.ua в открытую лежал git репозиторий промоушен-странички, а также логин и пароль для доступа в к другим проектам на Gitlab. Обнаружилось это просто потому что код страницы был просканирован поисковыми роботами и засветился в поисковиках.

По данным айтишников эта дыра существовала как минимум с 21.03.2021 и неизвестно какие спецслужбы каких стран могли получить доступ к репозиториям. Выяснилось, что .git папка находится в открытом доступе:

Дальше интереснее, в папке конфига в открытую красуются логин + пароль + auth:

Ключевой момент в этой всей истории — никакого взлома не было, никто ничего не ломал.

«Дія» послана нам за грехи. Особенно громко я смеялся над тем, что после того, как добрые люди с Ebanoe.it уведомили Министерство цифровой трансформации Украины о том, что у них критическая дыра, спустя двое суток, с адреса security@ им ответили, что нужно по этим вопросам обращаться к чат-боту. Беспощадная цифровизация. Немилосердная», — написал на своей странице в Facebook специалист по кибербезопасности, известный под псевдонимом Sean Brian Townsend.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.