Комментарии 27
Спокойный и дельный анализ ситуации. Благодарю Денис.
habr.com/ru/news/t/598245/#comment_23877627
Это сколько же всего у них в гите хранилось... Документы из консультанта-то там зачем?
Может, они из секты антигитигнорщиков?
это ж шаблоны документов, которые заполняются и отправляются в ведомоство, когда вы ввели данные на форму. Многие ведомства в рамках смева до сих пор файлами меняются, а не машиночитаемыми форматами
Эти шаблоны устанавливаются всякими постановлениями, законами и регламентами и важно их правильное заполнение(привет ЗАГСам, которые заворачивали обращения из-за двух поменявшихся местами слов в заголовке таблицы). Соответственно эти документы должны быть одинаковыми на всех стендах, чтобы была возможность отловить ошибку на ранних этапах и в целом поддерживать какую никакую синхронизацию. Плюс бонусом идет контроль версий. Эдакий Консультант+ на минималках.
Согласен, можно более изящные схемы придумать, но и такой вариант вполне себе имеет право на существование в данном случае.
У различного рода лохотронщиков и воров никогда не было столько информации о гражданах страны которую они украли и купили у органов власти. По официальным сообщениям за 2020 год лохотронщики увели у россиян более 250 миллиардов рублей и я подозреваю что в органах имеются личности которые имеют процент с мошенических схем, за то что сливают информацию о "клиентах".
Как никак народ у нас теперь "новая нефть" и помимо штрафодобывающей отрасли, лоходобыающая так же процаетает.
Информатизация всего и вся зашла слишком далеко. Она уже не решает проблемы, она их создаёт. На днях поинтересовался о возможности открыть вклад "ножками в банке", чтобы была только бумага, и никаких этих ваших "онлайнов". Оказалось нынче такой возможности нет. Наверняка есть, но для очень богатых. Скоро старая добрая карточка или справка, написанная от руки, с печатью, станет новым символом статусности и состоятельности. А некогда прогрессивный "электронный документооборот" - удел плебса.
Парней жалко.
А дыра чудовищная, пофиг ячто слива кода не было, был потенциальный доступ к заботливо собранным персональным данным всех россиян, а не только Пензы. Зато мы слышим отговорку, что мол только в Пензе, не парьтесь. Пора париться.
Например, пароли, которые использовались для доступа к сертификатам, были простые — типа «12345678».
Настоящие ИБ-шники, использовали дефолтный пин для сертификата...
Проверяю ГИА и ЕГЭ много лет, последние несколько лет проверка идет с применением электронных ключей, при выдаче ключа к нему дают инструкцию по установке пароля, в инструкции написано, как сменить пароль, но на словах всем советуют не менять пароль по умолчанию "123456". В прошлом году повысили сложность пароля по умолчанию - "12345678". Так и живем. Про пароли типа "ГИА100" и тому подобное не пишу, очевидно.
Теперь понятна бредовая работа портала. А тех.поддержка там на уровне перепалки с Алисой. И это гос?!!! Хотя, Салтыков-Щедрин ещё писал о Ляпкиных и Тяпкиных)))) но сквозь сьезы.
После нескольких обращений с подробным разбором инцидента Хорохорин не получил в ответ ничего от разработчиков госуслуг.Существует ли способ пофиксить этот баг?
Одна из ключевых проблем — приходится бить в колокола и угрожать публикацией, чтобы кто-то из принимающих решение признал наличие ошибки и принял меры к исправлению.
Им по факту и по сути добро делают, но они сопротивляются, а в некоторых случаях еще и встречный наезд устраивают. Кто-то за своё место боится, а в итоге вся структура страдает.
Начальству любой крупной корпорации на заметку — следует строже наказывать не того, кто допустил утечку, но того, кто приказывал отмалчиваться вместо ответа «большое спасибо, сейчас срочно будем фиксить».
С банками к примеру тоже самое творится. Пока журналисты не растрезвонят, писать в ТП бесполезно. А как растрезвонят, банк не дыру первым делом стремится залатать, а человека распространившего информацию о ней закатать в асфальт.
С госуслугами я предвижу такую же реакцию. Тем более человек не скрывается, как я понял.
Но они же не себе угрозу создают. Давно пора принять, что есть два сосуществующих эм... сословия. Если кто-то раскрывает перс. данные первого сословия - за это травят, убивают и сажают. У второго же сословия перс. данных не должно быть в принципе. Потому что в принципе нет ничего такого, что им на самом деле принадлежит. По какому поводу собрались бить в колокол? И в чем это вообще будет выражаться?)
Я считаю, что выкладывать что либо государственное на GIT. Это как хранить все госсекреты в сейфе госдепартамента США. Страна непуганых идиотов.
BadB снова в деле)
Bug Bounty для системы электронных выборов ввели. Так что им мешает ввести его на все гос системы? Бюрократия?
СМИ: опубликовавший часть исходного кода сайта «Госуслуг» Пензы основатель Cybersec раскрыл причины своих действий