Украинский специалист в области IT, Ярослав Гарагуц, обнаружил, что пароль от сервера с резервными копиями Портала державної електронної системи у сфері будівництва (e-construction.gov.ua) находится в открытом доступе. Об этом он сообщил на своей странице в Facebook. Фокус попросил Андрея Барановича, эксперта по кибербезопасности, прокомментировать данное «открытие».
«Есть «кабинет застройщика», или более официально «Портал державної електронної системи у сфері будівництва». У него есть сайт, позволяющий с этим кабинетом работать, и есть API (application programming interface, набор определений подпрограмм, протоколов взаимодействия и средств для создания программного обеспечения и дальнейшей работы с ним, — ред.) — интерфейс для автоматической работы. И если сделать к этому API самый простой запрос, то в ответ (помимо данных, которые открытые по умолчанию) вылетает пароль от сервера, на котором хранятся резервные копии данных Портала. Если получится найти этот сервер в Интернете, то можно ввести логин и пароль и скачать абсолютно всё», — пояснил эксперт.
«Супероткрытые» данные e-construction.gov.ua. Фото: скриншот из Facebook
По словам Барановича, даже, если это сервер находится во внутренней сети, а не в Интернете, все равно такая ситуация недопустима, так как является грубейшим нарушением правил кибербезопасности.
«В любом случае пароли никогда не должны появляться в открытом виде. Никогда. Тем более от сервера с резервными копиями. Это все равно, что дубликат ключа от банковской ячейки вывесить за двери. Такого быть не должно», — констатирует Андрей Баранович.
Минцифры пока не комментировало данный инцидент.