В «Дія City» існувала критична вразливість для крадіжки даних

Як повідомляє спеціалізований портал ebanoe.it, недбалість і непрофесіоналізм команди, яка працює над «Дiя City», призвела до того, що на ресурсі dc.diia.gov.ua в відкриту лежав git репозиторій промоушен-сторінки, а також логін і пароль для доступу в до інших проектів на Gitlab. Виявилося це просто тому що код сторінки був просканований пошуковими роботами і засвітився в пошукових системах.

За даними айтішників ця дірка існувала як мінімум з 21.03.2021 і невідомо які спецслужби яких країн могли отримати доступ до репозиторіїв. З’ясувалося, що .git папка знаходиться у відкритому доступі:

Далі цікавіше, в папці конфіга в відкриту красуються логін + пароль + auth:

Ключовий момент у цій всій історії – ніякого злому не було, ніхто нічого не ламав.

«Дія» послана нам за гріхи. Особливо голосно я сміявся над тим, що після того, як добрі люди з Ebanoe.it повідомили Міністерство цифрової трансформації України про те, що у них критична діра, через дві доби, з адреси security@ їм відповіли, що потрібно з цих питань звертатися до чат-боту. Нещадна цифровизация. Немилосердна», – написав на своїй сторінці в Facebook фахівець з кібербезпеки, відомий під псевдо Sean Brian Townsend.