Взлом Госусулуг. Хотя, какой там взлом, вернее сказать, слив
Тема уязвимости Госуслуг поднимается постоянно. То окучили бабку на квартиру, то получили чьи то данные. До сих пор никто не претендовал на звание “хакера”, данные так и не были слиты. Тема обсуждалась многими известными специалистами в ИБ, даже специалистами Касперского, но до сих пор никто не ушел дальше обхода валидации полей. Ок. Парни, вы можете дрочить Госуслуги до победного. Но ящичек открывается проще. Как и всегда, по сути, с любым удачным похеком. Результаты я предоставляю на анализ целиком вам.
Могу лишь добавить, что взлома то и не было. Это слив. Наш автор просто обнаружил открытый репозиторий. Которым мы теперь делимся с вами.
Также, хочу сказать, что проблема была серьезно обозначена официальным лицам. Ответ был вот такой:
В дополнение могу лишь сказать, что детальное описание предоставлено, ответа не последовало.
Мы уже писали про дамп гитов и не раз. По сути, это ситуация, когда разработчики не ограничивают доступ к каталогу .git и в результате атакующим удается получить доступ к исходному коду. Как я и писал выше, в Мираторге это был пиздец. Но он не идет ни в какое сравнение с тем, что произошло сейчас.
Я уж не знаю логику разрабов, но они зачастую думают, что если они пилят на поддоменах, то это безопасно. Но увы. Многочислиненные инструменты позволяют выяснить имена сабдоменов и вот тогда приходит писец.
Что и произошло с mos.ru.
Охуешеньки?
То ли еще будет.
Одному моему знакомому написал тип, который раньше ломал Мосгортранс и писал об этом статью. Тип был явно на веществах и просил денег хоть за какую нибудь информацию. В ходе беседы было выяснено, что тот тип сканировал поддомены .mos.ru и выявил их великое множество. Автор статьи заинтересовался и решил проверить сам. И охуел.
На поддоменах .mos.ru яростно принебрегали ограничениями к каталогам .git.
Я не знаю какова ситуация сейчас, проблему я зарепортил.
Однако.
В сухом остатке осталась куча исходного кода, которым я с удовольствием делюсь с вами.
Чтобы понимать. В исходниках почти все госуслуги (ранней или поздней версии), сертификаты есиа (на данный момент работать уже наверняка не будут), и почти 2гб исходного кода битрикс, который, тебе, мой друг и предстоит изучить. В сухом остатке: Госуслуги = Битрикс, ЕСИА = OpeinId (причем даже не донатили). Ну а дальше – судите сами.
Госуслуги взломаны.
Дарю вам, весь исходный код Госуслуг, а те, у кого есть мозг найдут больше: https://gofile.io/d/qYQQVC или https://anonfiles.com/b7i4Efdcxc/gosuslugi.pnzreg.ru_rar
ВНИМАНИЕ! АДМИНИСТРАЦИЯ САЙТА НЕ СОВЕРШАЕТ И НЕ РЕКОМЕНДУЕТ ВАМ СОВЕРШАТЬ ПРОТИВОПРАВНЫХ ДЕЙСТВИЙ ИЛИ ПОЛУЧАТЬ НЕСАНКЦИОНИРОВАННЫЙ ДОСТУП К СИСТЕМАМ. ДАННАЯ СТАТЬЯ НАПРАВЛЕНА НА ТО, ЧТОБЫ УКАЗАТЬ НА ПРОБЛЕМЫ С СИСТЕМАМИ И ПРЕДОСТЕРЕЧЬ ПОЛЬЗОВАТЕЛЕЙ И УЧРЕЖДЕНИЯ ОТ ПОТЕНЦИАЛЬНО ВОЗМОЖНЫХ АТАК.
Залитый файл на анонфайлс это рофл или шутка? Оно обвалилось за 3 секунды. Смешной ход если был расчет на массовый дудос сайта
Благодарю за статью
А Владик Хорохорин не боится еще разок на бутылек присесть? Один раз в США посидел, теперь появились шансы в Россиюшке. Палит свой Email и имя в статье.
Владик Хорохорин не совершал никаких противоправных действий. Все гиты находились в открытом доступе. Фактически, утечка произошла больше года назад и не по его вине. Причем, об этому же писалось. Фактически, Владик Хорохорин увидел серты ЕСИА и подумал, что их можно абьюзить. Поэтому и зарепортил пробему.
Залейте на нормальный хостинг, пожалуйста!
Достойно. Скачал, распаковал, поизучал.
Жаль только, что это не единый портал “Госуслуг” (ЕПГУ), а его региональная пензенская версия с урезанным функционалом, отсутствием прямого доступа к центральной БД и извлечением данных о пользователе исключительно по токенам, выданным в результате его добровольной авторизации через ЕСИА. Было бы эффективнее получить доступ к элементам инфраструктуры самого ЕПГУ. Мои исследования двухмесячной давности показали, что во многом она защищена достаточно хорошо.
А в целом – дерзайте, и не останавливайтесь на региональном портале. Высшим пилотажем будет добраться непосредственно до ЕПГУ.
Мимо автор событий 11-го ноября.
судя по постам на пендосских форумах, до минцифры все кому надо уже давно добрались
Ху…та, автор совсем не разбирается в теме:
в статье речь про mos.ru , а в ТП пишет именно госуслуг, ну в яндекс еще написал бы, чо, какая разница если писать не туда.
Напугал только людей, которые читать дальше первого абзаца не умеют, ган…дон.
Выложите торрент или magnet-ссылку.
Можно линк на мегу?
Торрент или зеркало? Скачать нельзя.
Похоже пофиксили, ни на одном из поддоменов, а их 39, git не открывается.
magnet:?xt=urn:btih:071161b3e25167fa344f4ccb28493e8a2ced903f&dn=gosuslugi.pnzreg.ru.rar&tr=udp%3a%2f%2ftracker.openbittorrent.com%3a80