«Госуслуги» закрыли уязвимость после публикаций экспертов и нашего расследования
«Госуслуги» закрыли одну уязвимость после публикаций экспертов по IT-безопасности и нашего расследования. Теперь там стоит блокиратор waf и при использовании выдаётся ошибка. Независимый исследователь Сергей Дьяконов связывает это со своей публикацией и с выходом расследования «Роскомсвободы».
«Я считаю что публикация привела к изменению правил безопасности», -- заявил он.
Напомним, ранее мы опубликовали [текст](../../../../../../post/pro-gosuslugi/) « Портал государственных проблем: как «Госуслуги» стали инструментом политической борьбы и раем для мошенников». В материале в том числе рассказывается, что в сентябре 2021 года эксперт по IT-безопасности из SafeNet Игорь Бедеров обратил внимание на уязвимость, позволяющую злоумышленникам получить доступ к аккаунтам пользователей «Госуслуг». Её суть заключается в том, что после ввода «капчи» пользователь может быть перенаправлен на мошеннический ресурс. Об уязвимости специалист сообщил администрации портала.
Спустя два месяца, в ноябре, наличие этой уязвимости решил проверить и Дьяконов. Он обнаружил, что с сентября проблема не была исправлена. Но в декабре, по времени -- после расследования -- дыру закрыли.
«Мне кажется, что материалы не стали прямой причиной к закрытию уязвимости. Вполне возможно, что они повлияли, но не только они, -- размышляет автор статьи про «Госуслуги» Андрей Серафимов. -- Но и такой результат -- уже круто».
Журналист также добавил, что было бы здорово, если бы «Госуслуги» использовались по назначению, поскольку идея доступа к государственному сектору в телефоне «просто отличная, однако всё губит вмешательство политики».
«С точки зрения пользователя и безопасности, я думаю, на государственных порталах необходимо автоматически включать 2ФА. Google же сделал её обязательной для всех -- что мешает властям?» -- заключил Серафимов.
There are no comments yet.