Эксперты: взлома федеральных Госуслуг не было, утекли исходные коды регионального портала госуслуг Пензенской области

[fshp]

Государственные сервисы и так должны быть открытыми.

[redneko]

Суровый отечественный open source: нет исходников (оплаченных за счет налогов) - добудь их сам:)

[monane]

Эксперты: взлома федеральных Госуслуг не было, утекли исходные коды регионального портала госуслуг Пензенской области

с поддомена на mos.ru

[dartraiden]

Нет, с gosuslugi.pnzreg.ru/.git (сейчас доступ закрыт, но на момент публикации оригинальной статьи об утечке, доступ ещё был). Собственно, этот поддомен и в названии архива с исходниками фигурирует.

[Medeyko]

Захардкоженные закрытые ключи ключи от сертификатов, используемых для доступа к ЕСИА, в таких приложениях - это какая-то прямо-таки преступная неосторожность.

"Правильным конфигурированием" Git-репозитория такие проблемы решаться не должны - всё равно доступ к ключу в этих исходниках имеет непозволительно большое количество людей. Они должны решаться запретом на такое хардкоженье.

А ещё для таких приложений меня коробит от фразы "утечка исходного кода". Их код, я убеждён, должен быть открыт и документирован, как и все API. И, на мой взгляд, должно одобряться использование этих API любыми желающими...

[ifap]

Вы эксперт или где, не понимаете к чему это приведет? Любой желающий тогда сможет допилить портал госуслуг да еще и публично объявить, сколько времени ему на это потребовалось. И нельзя будет просто так взять и выдать Ростелекому очередную пачку казеных денег на «совершенствование» портала, когда известно, что полтора землекопа на общественных началах справились с этой титанической работой за пару часов. /sarcasm покинул здание

[IkaR49]

Да боюсь, что это не сарказм...

[unsignedchar]

Классика же

https://bash.im/quote/405106

[dartraiden]

Захардкоженные закрытые ключи ключи от сертификатов, используемых для доступа к ЕСИА, в таких приложениях — это какая-то прямо-таки преступная неосторожность.

О, в репах и не такое валяется… Несколько лет назад, сдампив репозиторий с одного домена, я обнаружил там то, что для разработки сайта вообще не требуется — текстовик с учётными данными от личного кабинета одной очень недешевой ПК-программы. Уровень доступа там был корпоративный, можно было нагенерировать себе кучу лицензий на разные имена (с учётом того, что на варезниках этот софт появляется очень редко, можно было бы даже замутить какой-то бизнес...). Зачем это там хранили, одному богу известно. Впрочем, найденным я так и не воспользовался, а потом оно сгинуло вместе с помершим хардом.

[itools]

мечтать не вредно )))) я с подтвержденными данными инн снил и прочим сопутствующим в налоговую записаться не могу, в гос услугах я подтвержден, а налоговая просит подтвердить (хотя одна общая база) номер инн при записи, говорит нет такого. Какая уж там безопасность! Напоминает фильм "Сеть"

[fruit_cake]

Новость через несколько лет: генетические паспорта россиян утекли в сеть с ресурса госуслуг, хакеры начали продавать куар-гено-коды на поход в продуктовый магазин, нейросетевой президент высказал озабоченность из своего подземного дата-центра, специалисты предложили россиянам обезопасить их данные и передать свои тела на вечное хранение в ячейки федеративной эко-республики Сбера, а так же оставить дела и заботы на плечи своих аватаров.

[uhf]

А зачем существуют региональные порталы Госуслуг? Чтобы больше денег на их разработку тратить?

[FlashHaos]

В тех случаях, когда это поможет распилить больше денег, у нас неожиданно проявляется федерализм и независимость регионов.

[salnicoff]

Теоретически — чтобы реализовывать государственные услуги, которые не предусмотрены федеральным законодательством. Например, у нас в области есть свой Социальный кодекс с дополнительными льготами. Для их получения оказывается региональная государственная услуга, для ее оказания и должен быть создан региональный портал госуслуг (его до сих пор нет, нужно ходить в МФЦ). На практике — см. опыт Москвы.

[uhf]

То есть когда федеральные госуслуги проектировали — о региональных не думали? Пусть из-за одной услуги каждый регион свой портал колхозит? Прекрасно.

[salnicoff]

А это проблема не порталов госуслуг, а самих госуслуг. Реализация всех вопросов разделена между федеральными, региональными и местными органами власти. У каждого уровня есть свой бюджет под решение вопросов своего уровня. Залезать на чужой уровень нельзя от слова «совсем». Вот и приходится каждому субъекту РФ пилить свой портал госуслуг. А еще есть ≈25 000 муниципальных образований, в которых есть свои муниципальные (их нельзя называть государственными) услугами. Т. е. надо еще ≈25 000 порталов создать, потому что они должны оплачиваться из местных бюджетов, а если они «арендуют» софт регионального или федерального порталов, значит, региональный или федеральный бюджет тратит деньги нецелевым образом и нужно кого-то это посадить...

Это система управления государством, созданная в доцифровую эпоху, которая изжила себя в новых условиях. Но никто этого не видит и не хочет видеть, проще сделать еще один портал за офилигиард рублей.

[Xambey97]

Не знаю, как у госуслуг, но как человек, который занимался разработкой гос. сервисов (и больше не буду заниматься, думаю никогда, ну его нафиг), в том числе и регионов по множеству направлений, могу сказать, что скорее всего платформа общая, а под отдельные регионы просто делаются отдельные инстансы (иногда с немного модифицированным дизайном), чтобы если что не легло все. Делается в основном для разграничения администрирования и отдельного ведения новостей, ну и чтобы нагрузка не была адская на один общий портал условно. Базовый код один, инфраструктуры разные, какую-то часть из общих данных (вроде того же ЕСИА) пропускают по отдельным шинам данным. Деньги дополнительные особо на это не тратятся, так что бугурт тут думаю излишен, почти все на ЗП уходит. Содержать условный штат из 30-40 разрабов несколько лет довольно накладно, особенно для гос. компаний (которые в основном и делают такие сервисы), чтобы хоть как-то удерживать людей в гос-ке (а это проблема, особенно для проектов, которые просто требуют поддержки постоянной, без активного развития) приходится платить ЗП (отпуска, премии, больничные, никто не отменял) на уровне и выше рынка, в моей компании к примеру постоянно не хватало денег на проекты, постоянно по-чуть-чуть собирали с других, чтобы дотянуть до следующего транша после сдачи части проекта… Да распилы бывают конечно, но это в основном наверху, деньги до проектов доходят, но чаще всего их недостаточно изначально даже по контракту…

[uhf]

Зашел сейчас на портал госуслуг г. Барнаул. До этого момента я даже не знал, что он существует. У него странный домен — portal.barnaul.org. При этом дизайн похож на федеральные госуслуги. Это вообще настоящий сайт, или нет? Куда идти-то? Я в замешательстве.
На главной последняя новость от 2020 года. Ссылки на другие порталы: отдельный портал для записи в детсад, портал для электронного дневника, портал со списком порталов… Услуги типа «Ведение учета граждан, испытывающих потребность в древесине для собственных нужд». Поискал такую услугу на федеральном сайте — есть она там, но за получением отправляют на региональный портал… При этом ссылки на него почему-то нет. Как я должен его найти? И зачем это всё? Это же потраченные впустую деньги, время и силы. А эффект от распределения нагрузки мизерный, да и не такими способами крупные сайты масштабирование делают.

[Xambey97]

Ну вы точно это не знаете, но могу сказать что региональными порталами люди пользуются, не так много как в москве, но и далеко не 0 запросов в год. Статистику правда я в последний раз видел году так в 18м. Причем думаю гос.услугами пользуются на порядок больше, чем порталами других ведомств (которыми я и занимался), а их дохрена и каждый год новые добавляются. Доп. расходов на это дело практически нет, они в рамках одного контракта все делаются. Это как раз вопросы к нагрузке на разработчиков и администраторов, которые все это должны поддерживать, людей очень мало… Дизайн практически всегда общерегиональный, мало какие регионы хотят под себя какие-то особенности в дизайне

[Moskus]

И зачем это всё? Это же потраченные впустую деньги, время и силы.

На сколько нужно быть оторванным от реальности, чтобы не понимать, что вот это (растрата бюджета, откаты, раздача подрядов "кому надо") и есть цель разработки подобного, а всё остальное - побочные эффекты?

На самом деле, есть одна причина, по которой местные услуги может иметь смысл делать отдельно - уменьшение бюрократии. Потому что изменения и добавление новых услуг в таком случае не требует коммуникации с федеральным центром. Но это, боюсь, никого не волнует.

[dbalabanov]

у каждого регионального портала свои исходники?

[Moskus]

Очень занятно.

Во-первых, неназванные эксперты занимаются типичной игрой в термины, говоря, что не было "взлома" (хотя это слово не является термином, а потому значит для каждого что-то своё), потому что была "утечка".

Во-вторых, утверждать что сопутствующих этой утечке индидентов ИБ не было, может только тот, кто имеет доступ к логам сервиса и имеет основание доверять этим логам (а также, логам сервисов, доступ к которым можно получить, используя информацию из утекших исходников) а не индивидуумы, которые занимаются прочесыванием "даркнета" на предмет того, что уже выставлено на продажу или опубликовано.

Если "эксперт по ИБ" высказывается в форме "не было взлома", тогда как всё, что он может реально утверждать - это "мы пока не видели, чтобы кто-то продавал украденное благодаря этой утечке", он либо намеренно врёт с какими-то целями, либо он никакой не эксперт.

[Medeyko]

Просто произошёл хлопок непубличных данных!

[UnknownQq]

меня пугает только то, что благодаря «опенсорсности» может произойти и утечка: исследовали, нашли уязвимость и привет данные. А цифровизация идет полным ходом. И после вот таких новостей, хочется оставаться аналоговым.

[foi]

Что означает "региональные госуслуги"? В чем их смысл то

[andy_p]

Прочитал как "ритуальные госуслуги".

[ifap]

Доступ к госуслугам региональных ведомств, в порядке бреда — Минздрава Пензенской области.