Почта РФ кишит уязвимостями

    Случайно наткнулся на пост в ЖЖ, который судя по всему, висит без реакции уже третью неделю.

    По сообщению исследователей некой организации Sokol-Security, используя уязвимости, им удалось добраться до файлов корневого сертификата и его ключа (не сообщается, запаролен он или нет), которым подписываются сертификаты всех отделений Почты РФ.

    Основной метод, через который удалось получить доступ — это инъекции SQL. В авторском посте есть примеры внедрения запросов, без текста запросов, которые в результате приводят к утечке данных. Под угрозой утечки помимо ключевой информации, также персональные данные огромного количества граждан, которые получают пенсию в отделениях Почты.

    Единственное, что отделяет исследователей от возможности сообщить подробности данной находки ответственным за это людям, по их словам — это твердолобость секретариата, который отсекает все попытки контактов.

    Я знаю, что на Почте РФ есть технически компетентные люди в области IT, которые, наверняка, читают Хабр. Может быть тут эту запись увидят?
    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 44

      +13
      Извините, не удержался :)

        0
        У меня он вообще не открывается, хотя в кэше гугла присутствует.
          +5
          очевидно же он проверяет http, а не https сайты. sokol-online.com/ — проверил нормально.
            +5
            Это Вы ещё на localhost не ходили к ним ;)
            +14
            На самом деле пост видели в Почте. Да и ребята из этой сокол-секьрити сильно лукавят
            1. Достучаться до необходимых лиц в почте РФ — более чем возможно. Лично достукивался по вопросам безопасности. И если юр.лицо не смогло достучаться — то это говорит только о компетентности менеджеров компании.
            2. Выкладывать в паблик полные запросы на не закрытые уязвимости — это нарушение первой заповеди белого хакинга. Если уж хотели показать что-то, то надо выкладывать было без самих запросов, а только скрины с купюренными ответами.
            3. Переодически компании проводят тендеры по аудиту ИТ безопасности, и почтаРФ не исключение. Если уж такие они хорошие — чего б в тендер не сунутся?
              +9
              Да, мне тоже только что сообщили, что Почта это видела, а на ребят уже завели уголовное дело.

              По пункту 1: Смысл тогда писать об этом? Я так понял, что там не юр.лицо, а некая группа единомышленников. В общем х/з, конечно.

              По пункту 2: Готовых запросов там нет, есть только безобидные запросы.

              По пункту 3: Это ж надо ждать. Кроме того, если почта это делает через госзакупки, то это ужасный геморрой для неподготовленного человека.

                +2
                1. На первоначальной версии сайта были реквизиты юр. лица. Сейчас похоже затерли.
                2. Есть готовые sql inj запросы. На момент поста в жж — они работали. А уж домыслить что вместо слипа в запрос вставить — не много ума надо.
                3. Ну если хотят вести бизнес — то геморрой будет в любом случае.
                  0
                  По пункту 1: Смысл тогда писать об этом?
                  Попиариться.
                    +1
                    А где же продолжение истории?
                    Что за ребята, точно ли завели дело и т.д.

                    P.S. На первый взгляд эти «ребята» — обычное школиё, случайно наткнувшееся на SQL Injection
                    0
                    Интересно, а какая компания проводит им «аудиты»?
                    Если про 29 уязвимость это правда. Причем какие то детские уязвимости, то лучше с такой компанией вовсе дел не иметь.

                    Подозреваю, что это не мастодонты типа PT, а ООО Рога и Копыта под экономику РОЗ.
                      +1
                      Они не так давно проводили конкурс на выбор компании, которая будет делать им аудит. В итоге они получили бесплатные результаты пробных аудитов от разных компаний (включая РТ, насколько я знаю). А конкурс скорее всего выиграла названая Вами ООО.
                      0
                      «Достучаться до необходимых лиц в почте РФ — более чем возможно. Лично достукивался по вопросам безопасности. И если юр.лицо не смогло достучаться — то это говорит только о компетентности менеджеров компании.»
                      Про безопасность не могу утверждать, но по техническим вопросам — проблема.
                      В ОПС мы обнаружили баг с расчетом стоимости посылки, написали письмо — все как полагается. И особо отметили, что операционисты не виноваты — это именно програмный баг. И что вы думаете? Через некоторое время лишили премии операционистов, баг исправили. Вместо виновных пострадали крайние.
                      0
                      Какое это имеет отношение к криптографии (в смысле, зачем оно в этом хабе)?
                        +2
                        Пожалуй вы правы, убрал. Изначально добавил, потому что речь шла о корневом сертификате.
                        0
                        Пожалуй вы правы, убрал. Изначально добавил, потому что речь шла о корневом сертификате.
                          +28
                          О да, не закрытый индекс директорий апача на сайте компании по ИТ безопасности — это круто. )
                          Скрин
                            +3
                            Это не обязательно не закрытый индекс директорий апача, в ответ на запрос, сервер может выдавать все что угодно. Или же апач тут как риверс прокси. Да и что-то тут закрывать, тут же статичный хтмл, который делал школьник между уроками. Все страницы типа: sokol-online.com/?page=-1# тупо сделаны вручную, ведь у него была задача: «Отвесим столько деревянных сколько будет весить наш сайт».
                              +3
                              Даже школьник может взломать почту России? :)
                              –1
                              панель закладок хороша )
                              0
                              спасибо хоть капчу рандомную стали выдавать на трекинге
                                0
                                На это убожество, по-моему, даже уголовное дело заводить не надо.

                                Верстка сайта, например
                                image
                                  +2
                                  Ну кто-то сайты делает, кто-то их взламывает, универсальных людей нет ) Если их «бизнес» в самом начале, то в общем-то сойдет. У той же Почты России сайт ещё более убогий.
                                    +2
                                    С такими методами работы, их «бизнес» скоро придет к своему логичному завершению.
                                  +1
                                  В принципе неудивительно, да и с технической точки зрения никто не застрахован от уязвимости. Хотя возможно, мои выводы основаны на комплексной работе нашей почты.
                                    +2
                                    Что меня тронуло и заставило запостить это на Хабр, так это не факт наличия дырок и не то, что речь о Почте РФ, а то, что эту информацию в Почте РФ, похоже, никто и слышать не хочет.
                                      0
                                      Зная как иногда работают наши почтовые службы, меня это не сильно удивляет.
                                        +13
                                        -У вас тут в бланке опечатка.
                                        -Вот те уголовное дело на вас.
                                          –10
                                          У меня? В каком бланке, можете пояснить или Вы ошиблись?
                                            0
                                            Dal просто продолжил вашу мысль.
                                              0
                                              Небольшая сценка по мотивам информации из комментариев.
                                          +4
                                          Мужчина, вы что, не видите? У нас обед.
                                        0
                                        Как связаться с Соколом? У них нет email'а :(
                                        Хотел бы отрепортить несколько уязвимостей, 2 из них с высоким уровнем риска.
                                          0
                                          В самом конце их ЖЖ-поста есть мыло. Я у кого уязвимости-то?
                                          • UFO just landed and posted this here
                                            +1
                                            Уголовное дело это чудесно. Копании с мировым именем привлекают исследователей со всего мира и платят денежные вознаграждения за поиск дыр. А у нас дела заводят.

                                            Что-ж, иностранной кибер разведке это только в радость. Не удивлюсь, что там уже давно копаются «заинтересованные лица» за проксями из Зимбабве.

                                            А потом шалтаи-болтаи «совершенно случайно» находят интересные массивы информации.
                                            • UFO just landed and posted this here
                                              +13
                                              Немудрено, с таким-то related
                                              image
                                                0
                                                Да чего там онлайн-инъекции, вот вам оффлайн пример:
                                                Внутренними нормативными документами ПР предусмотрена выдача заказного письма с пометкой «судебное» любому, кто прописан по этому адресу. Что в случае развода супругов например может доставить неплохой геморрой (например неполучение уведомления о судебном заседании).
                                                Ой, в домофон звонят, пойду открою, сейчас вернусь.
                                                  0
                                                  А вам давно последний раз почтальон вручал заказные письма? Мне всегда оставляют только уведомление, а письмо я получаю в отделении с предъявлением паспорта.

                                                  Касательно, внутренних инструкций — какое это отношение имеет к законам?
                                                    +1
                                                    Вот именно — по уведомлению судебное письмо на почте может получить любой из зарегистрированных по этому адресу.
                                                      +1
                                                      Просто бросают в ящик.
                                                        0
                                                        Заказные? Нужно написать жалобу в МинКомСвязи, их там воспитывают. Но для этого письмо должно быть адресовано именно вам.
                                                          0
                                                          Да, налоговая, пенсионный, приставы всё в ящике, судебных не было.
                                                      0
                                                      Да ладно, мои иностранные посылки соседям с других улиц относят и выдают, несмотря на несоответствие данных на почтовом лейбле и в паспорте.

                                                    Only users with full accounts can post comments. Log in, please.