denis-19 19 мая 2023 в 16:40

Минцифры: за три месяца более 8,4 тыс. белых хакеров пытались искать уязвимости на портале «Госуслуг» и нашли 34 бага

1 мин

3.2K

Информационная безопасность*Тестирование IT-систем*Облачные сервисы*Социальные сети и сообществаIT-компании

+10

Комментарии 15

Popadanec 19 мая 2023 в 17:30

Они не обнаружили 34 бага, а кмк оповестили о 34х. Сколько обнаружили никто не скажет.
Ну и тест только снаружи системы, половинчатый. Изнутри Госуслуги можно и нужно было ломать, чтобы у пользователей разного уровня доступа, были права не больше чем нужно.
К примеру такая банальная вещь как выкачивание базы, с последующим её сливом.

Tasta_Blud 19 мая 2023 в 18:27

а кмк - белые на то и белые, которые ломают для сообщений разрабам, а не держат при себе и тем более льют на сторону - для того есть чёрные. про которых ничего не говорится

НЛО прилетело и опубликовало эту надпись здесь

Tasta_Blud 19 мая 2023 в 18:33

Изнутри Госуслуги можно и нужно было ломать, чтобы у пользователей разного уровня доступа, были права не больше чем нужно.

мне лично известна такая история: клиент нашему директору устроил истерику "ваша система никудышная - любой пользователь может делать всё что захочет!", директор естественно в ахрене выдаёт нам пилюлей с указанием исправить. мы начинаем расследование, в результате которого выяснилось: клиент сам (по неизвестной причине, возможно, из лени) выставил всем максимальные привилегии. показали, рассказали - хэппи энд. код не трогали :)

vilgeforce 19 мая 2023 в 17:52

Критичность рядом с суммами стыдливо замазали?

-1

nochkin 19 мая 2023 в 17:55

Я могу критичность за них сказать. 50 т.р. -- средняя, а 10 и 20 -- низкие. "Ничего высоко-критичного у нас нет".

uvolilsya 19 мая 2023 в 17:54

и мерч от Минцифры

кепка с надписью "ХАКЕР" :-)

AlanFisher 20 мая 2023 в 10:24

"Взломщик"

Wesha 19 мая 2023 в 18:20

Красивый, кстати, метод попила.

Создаём в коде уязвимость.
Сливаем инфу кому надо.
Кто надо находит уязвимость, получает награду.

И ведь не подкопаешься! Особенно с учётом того, что от внешних наблюдателей название скрыто.

Tasta_Blud 19 мая 2023 в 18:38

что, собственно, не ново. с тендерами так же - выставляем условия такие, что участвовать (и выиграть) может только кто надо, профит.

PeterFukuyama 19 мая 2023 в 19:03

На гикбрейнсе, небось, столько хакеров набрали.

Wesha 19 мая 2023 в 19:36

Они бы лучше дали звезды тому, кто допустил очередную утечку своей базы.

-1

Upsarin01 20 мая 2023 в 21:12

Плохо. Очень плохо. Получается чтобы найти 1 баг нужно 220 хакеров?

Если посчитать сколько смог заработать каждый хакер, да же если он потратил всего 1 час своего времени, зарегистрироваться, прочитать условия, ткнуть там пару кнопок, получится работа да же не за еду, а за воздух.

Короче план не выполнен... ???