Комментарии 123
Минцифры вроде опровергли.
Пробовал сам менять айдишникми, но вроде не выдаёт ничего, но грузить пыьвется. Впрочем, на меня тоже, но видимо в спб не включили еще.
Минцифры в итоге нелепо оправдываются или внатуре фейк?
Я думаю, мы все узнаем совсем скоро - данные либо утекли в сеть, либо нет.
Имею ввиду, что пока что люди пишут: я дергал апишку, вот результат. А минцифры пишет: нет, не было такого. Надо что-то более аргументированное.
То есть сам не проверял, где-то увидел и решительно перепостил?
- погодите, но ведь у меня вообще дочери нет!
- ну, я своё мнение высказал
Это называется вброс, вроде бы.
Мои данные с госуслуг уже давно утекли.
Более того, как только это произошло, я немедленно написал об этом комментарий, на каковой команда Госусслуг ответила оглушительным молчанием.
(Для особо озабоченных)
...которые будут вопрошать "а откуда у тебя учетная запись": напоминаю, что когда я ездил хоронить убитого вирусом не страшнее гриппа отца — вот тогда и.
Все эксперты говорят, что фэйк
А ты сам то пробовал, прежде чем глупые новости распространять? Вот тебе реестрповесток, а вот тебе урл /api/military/v1/{oid}/person
Получается, вброс от полуфабриката))))
Ну через час после того, как новость во всех СМИ, я конечно, эту апи дернуть не могу, тут вы правы.
То что сейчас дыра уже закрыта, не значит, что ее не было.
да. но и скрин с каким-то JSON'ом, который вполне легально может любой получить по себе, тоже такой себе пруф. посмотрим будут ли эти данные по сети гулять, если да - то да, если нет - то значит вброс был
Вот прямо интересно, какой бы пруф вас удовлетворил после закрытия дыры? :)
слитая база) хотя бы часть базы для демонстрации. а какие тут ещё пруфы могут быть? я так могу и про хабр вбросить, типа УЪУ смотрите я нашел баг и слил всю базу пользователей хабра. вот скрин в качестве пруфа :) и не важно, что тут только мои данные, а чужие я вам не покажу
Мои персональные данные утекли с госуслуг, интересно кто виноват, хабр?
А вы уверены, что они утекли именно с госуслуг, а не от работодателя/банка/медклиники и т.д.?
А вы уверены, что они утекли именно с госуслуг, а не от работодателя/банка
Да.
Доказательства? Их есть у меня.
При проверке по утёкшим в сеть базам данных в даркнете источник слитой базы указан: госуслуги. Так же это подтверждает аватарка, профиля госуслуг для которой я сделал уникальное фото своего фейса. Мало того, что у них это всё утекло, так они не соизволили меня вообще об этом предупредить. Естественно же никто в этом не виноват, особенно программисты с зарплатой до колен.
Эта история сводится к аналогии о чайнике Рассела. Доказать отсутствие дыры теперь невозможно в принципе. Бремя доказательства может лежать только на тех, кто утверждает, что дыра была.
Есть ещё такое эмпирическое правило: если слухи официально опровергаются - значит всё правда.
Запоминается только то, что опровергли, а в итоге оказалось правдой
Чипирование через вакцины, например, показывает что ваше правило не работает
Прям официально опровергали?
Прям официальный депутат сам сказал
Формат не тот. Просто высказался. А должно ответственное ведомство выпустить официальный пресс-релиз с опровержением. Было оно? Правильно, на всякую фигню принято не реагировать.
выпустить официальный пресс-релиз с опровержением
Так минцифры тоже официального пресс-релиза с опровержением утечки не делали
Москва. 18 сентября. INTERFAX.RU - Минцифры России заявило об отсутствии уязвимости на сайте реестра электронных повесток, а также об отсутствии утечек.
"Минцифры опровергает информацию об уязвимости на сайте реестра электронных повесток, якобы позволяющей получить персональные данные граждан. Данные пользователей портала Госуслуг надёжно защищены", - говорится в заявление.
То что сейчас дыра уже закрыта, не значит, что ее не было.
Быстро поднятый сервер упавшим не считается!
upd.
комментарий для минусов этой поделки
Немного странный вектор атаки: я сначала должен авторизоваться с госуслуг и...
Хорошо, допустим, у меня есть аккаунт соседа.
Теперь я авторизуююсь под соседским аккаунтом и начинаю угадывать uid госуслуг нужного человека?
Как? Идея "дозвониться до человека и суметь ему объяснить, где искать его uid на сайте" выглядит немного нереальной.
Какая-то неубедительная атака.
Ps что json со своим аккаунтом госуслуг можно получить - это ладно. Но проверяли ли на аккаунте соседа/друга, что со своего аккаунта можно вытащить чужие, или "вот api и uid, вот json, тут и проверять нечего"?
Нууу, вообще, если пользователь авторизован, и у него есть апи, в которое нужно число засовывать, это дело автоматизировать можно.
Ну если человек авторизовался через свои госуслуги чтобы делать грязные дела то у него конечно очень много IQ :)
Суметь заполучить одну учётку, чтобы с неё получить доступ к дырявому API - это вполне себе вектор атаки. Не понимаю, к чему тут сарказм. В современном мире хакерское ремесло чуть сложнее, чем "получить админский пароль ко всему" (хотя и такое до сих пор бывает).
Да, если там в качестве идентификатора UUID, то задача перебора сама по себе не тривиальна, но это всё ещё дыра.
Получение доступа к чужой учетке — это вектор атаки. Но уже сейчас видно, что они блокируют запросы по IP, так что вероятно без прокси тут не обойтись (тут не уверен).
Другой момент — им нет проблемы блокировать запросы по идентификатору пользователя, который их отправляет (можно получить ID через токен). Если будет подозрительно много запросов или попытки искать данные по чужим ID, это можно будет отследить и заблокировать. Так что дыра частично закроется, хоть и не самым лучшим образом.
Учитывая, что они уже начали блокировать по IP-адресам, что, вероятно, было для них самым быстрым способом хотя бы частично закрыть дыру, думаю, что завтра уязвимость закроют полностью, и вряд ли она нанесет большой вред в глобальном плане (надеюсь).
Это получается что у министров и депутатов все документы уже стащили. Если конечно они сами на госуслугах зарегистрированы 🤔
В том то и дело что там идентификатор число
Купить аккаунт госуслуг стоит копейки.
>Хорошо, допустим, у меня есть аккаунт соседа.
аккаунты ГУ продаются по 3 бакса. прокси, скриптик. а uid там вроде банально СНИЛС у большинства.
а список снилс есть во всех медицинских утечках - десятки миллионов в паблике
короче, было бы желание попарсить, у тебя его нет, как вижу.
ну и пофиксили быстро, может даже никто и не успел
С одной стороны - ты можешь перебирать ид-ы и пытаться поймать не свои данные, но в таком случае, во всяком случае - СЕЙЧАС , ты просто светишься как новогодняя лампочка.
По хорошему, после опубликования в множестве СМИ описания дыры в гос-структурах, заходить и пытаться дёргать за старые хвостики от дырки - это просто бегать по улице и кричать - Я мамкин хакер !!!
По другому я не вижу нормального объяснения.
Более того, мог быть вброс, с подготовкой медовой ловушки, honeypot-а, для таких индивидов. Просто перенумеровать их.
Уже к вечеру, после запуска сайта была обнаружена уязвимость
Самое смешное, что ещё до публикации этого поста в комментарии впод постом, что по ссылке в процитированном куске, уже сообщили, что уязвимость уже закрыта:
https://habr.com/ru/news/844258/#comment_27311656
Действительно, это вам не пилить деньги на независимых аналоговнет и не защищать народ от западного влияния в информационной сфере.
Какие же молодцы. Умельцы.
Интересно, а кто же за это отвечать будет? Наверное, к ответу призовут тех, чей "след" в очередной раз найдут.
Есть какие-либо технические подробности уязвимости? Была ли это вообще уязвимость? Хабр (пока еще) технический ресурс, делать подобные вбросы без доказательств - странно. Скорее всего доступ можно было получить исключительно к своим данным, потому что доказательств обратного ни в одном СМИ не было.
Думаю, это был обычный перепост чужой новости под своим логином, чтобы высказать свое "ФИ". Даже не был указан исходный API запрос, чтобы оценить.
Детсадовцы занимаются фаллометрией друг с другом.
А какие подробности нужны? По описанию - обычный IDOR. Скорее всего на бэке в ГУ ходят через суперучётку, а бэк для фронта не проверяет права доступа.
Обычные такие подробности - как нашли, как эксплуатировали, какие данные получили. Таймлайны, скрины, пруфы и так далее. Сейчас это статья не для Хабра, а для журнала "Сельская жизнь". Вот есть прям соседняя статья https://habr.com/ru/articles/844224/ , сравните ее и вот текущий желтушный опус.
ну что вы, какие подробности, джентльменам верят на слово :-) /s
Вброс наверное от самих мин обороны.
Авторизовался в гос услугах, пощупал api, взяли на карандаш)
Не моё. Отлично сказано про современное положение дел с собесами и наймом в айти:
Уверен, все эти люди прошли пятиэтапный собес с алгоритмической секцией, лайв-кодинг секцией, теоретической секцией, вращанием красно-чёрных деревьев и вопросами про солид.Интересно, на пятиэтапном собесе в какой-нибудь секции был вопрос на знание закона о защите персональных данных применительно к айти?Почему даже в ООО «Рога и копыта» 10 лет назад, где собес был 15 минут и состоял из нескольких вопросов уровня «ты вообще программировать-то умеешь?» — мне сразу же донесли, что персональные данные типа серии-номера паспорта, номеров других документов, номеров банковских карт и т.п. даже хранить в БД нельзя… Максимум какой-нибудь необратимо зашифрованный токен. Тем более не отдавать в апи наружу в открытом виде.
Вот Вы ругаетесь, но зато они истинные патриоты! Послушные, управляемые..... фи Вам! /s
не отдавать в апи наружу в открытом виде
А в каком виде их надо отдавать конечному пользователю?
Очевидно в минимальном том в котором этому конечному пользователю они необходимы для работы. В данном конкретном случае (реестр повесток) не совсем понятна сама необходимость хранить/проксить и выдавать паспортные данные - это реестр повесток, а не паспортный стол. Видимо архитектурил систему специалист по дизайну твиттеров и парковок.
А этот "минимальный вид" должен быть все-таки "открытый", или...?
не совсем понятна сама необходимость хранить/проксить и выдавать паспортные данные
А вы знакомы со всеми сценариями использования реестра, заложенными в ТЗ? Я вот нет. А вдруг, например, он предназначен еще и для работы военкоматов, когда сотрудник из единого интерфейса должен иметь возможность получить данные о призывнике? При таком сценарии сама необходимость запроса полных данных по чужому ID уже не кажется такой уж лишней, правда?
Разумеется, тут все равно останутся вопросы ограничения доступа к соответствующим вызовам API, но я к тому, что даже при наличии некой ошибки, позволяющей раскрытие данных, столь масштабные выводы об ошибках именно проектирования в целом не надо делать, если у вас нет достаточной информации о системе.
вдруг, например, он предназначен еще и для работы военкоматов, когда сотрудник из единого интерфейса должен иметь возможность получить данные о призывнике
Для РВК предназначен "Реестр граждан, подлежащих призыву". Он, вроде, пока не готов. Но он будет для служебного пользования исключительно, не для населения.
А вы знакомы со всеми сценариями использования реестра, заложенными в ТЗ? Я вот нет.
Я тоже нет. Поэтому и сделал допущение "не совсем понятна". Сценарий "запросить данных побольше чтобы военкомы могли торговать пробивом" тоже имеет право на жизнь.
Вот прям когда в каждом ларьке стоит 1С буха и торговля с паспортными данными клиентов-физиков, а в конторе покрупнее (на 3 ларька и цех) стоит 1С зарплата со всеми персданными всех сотрудников " в ООО «Рога и копыта» ... мне сразу же донесли, что персональные данные ... даже хранить в БД нельзя"
Чой-то прям не верится.
даже хранить в БД нельзя
Интересно, если не хранить данные, то как их потом использовать? Если по этим данным составляются договора, акты и прочее.
Хранить то можно, главное обеспечить нормальную политику доступа к этим данным.
Reestr poestok
😂
Вот к чему приводит отток IT специалистов заграницу.
Кто-то давно кидал интересную мысль, что если бы была централизованная внешняя программа по оттоку IT специалистов из России (чтобы ты за рубежом сразу получал какие-то ништяки, а не "понаехали тут") - уже бы давно режим остался бы без айтишников, и это слабое звено могло бы всю цепь разорвать.
если бы была централизованная внешняя программа по оттоку IT специалистов из России
...то победить Россию было б уж чересур как-то просто. А это неспортивно! Нормальные герои всегда идут в обход! /s
если бы была централизованная внешняя программа по оттоку IT специалистов из России (чтобы ты за рубежом сразу получал какие-то ништяки, а не "понаехали тут")
Если бы предложили быстрый способ попасть туда где "ништяки" делая то же самое что и сейчас, поехал бы любой человек где бы он не был и чем бы не занимался
Тут, правда, стоит сразу заметить, что ощутимая часть "IT специалистов из России" (тм) абсолютно нафиг никому не нужна за пределами России, что прекрасно подтвердилось всеми этими многочисленными случаями про "я променял бизнес-центр класса А на работу бариста в Тбилиси, но ни о чем не жалею".
Было бы странно, если бы в Тбилиси, с населенем меньше Екатеринбурга было бы достаточно вакансий чтобы вместить 10% ITшников России.
А как же "ИТшник может работать со всем миром из любого места, и только из РФ он ограничен санцкиями"?
Как вообще связаны население Тбилиси и число доступных ИТ вакансий?
Далеко не каждый ITшник - фрилансер. Разные области компетенции, разные типовые задачи. Корпоративные навыки мало нужны в "диком" фрилансе, и наоборот. Конечно ITшнику который в условном сбере был узким спецом по какой-то теме проще стать фрилансером-одиночкой чем, скажем, газосварщику. Но тоже, это немаленький путь.
Российский ITшник в Грузии - это не грузин, не полноценный гражданин страны, это что-то среднее между туристом и оккупантом, с соответствующим к нему отношением и соответствующими "льготами". Проблемно открыть счет в банке, например. Условия для этого постоянно меняются (что можно сегодня, завтра уже нельзя). Вот если вы в Тае/Вьетнаме/Турции отдыхали - насколько вы подготовлены были чтобы открыть там счет в банке, юрлицо, правильно переводить туда деньги, правильно оплачивать налоги, причем все это делать не по мейнстримному, не как гражданин страны, а как иностранец с непонятным статусом. То что для местных обыденно, как для нас ИП, ИНН, НДС - для эмигранта - новые слова, которые он никогда даже и не слышал. Вы сами, вероятно, ITшник и можете на себя примерить, насколько это легко(сложно), внезапно вдруг все бросить и начать свой фриланс бизнес в другой стране, не зная о ней заранее ничего, кроме "долма, хинкали".
Поэтому даже тот, кто в РФ вел вполне успешный фриланс бизнес (до 2022) в другой стране имеет огромные сложности с этим. Найти локальную работу (даже пусть "черную") - может быть более просто. И поэтому и связано количество IT-эмигрантов там с размером местным рынком труда.
Мы же про ИТ вакансии - при чем тут фриланс?
Ну и если ты не турист, то что для локальной работы, что для работы на Амазон счет в банке и карточка с которой можно снимать деньги в местном банкомате все равно нужен, если не нырять в серую зону с перспективой депортации.
А, я думал, "может работать со всем миром" - это вы ко фрилансу отсылаете. Прежний работодатель не всегда может такое поддерживать, особенно если раньше был хотя бы иногда очный формат работы. Если прежний - российский, то возникает вопрос перевода денег из РФ (Карты МИР не везде работают). Если импортный - то проще, но как вы верно пишете - счет и карточка (Насколько я знаю, это везде проблемно для "руссо туристо". Типа вчера в Грузии три банка выдавало, а сегодня один из них уже перестал обслуживать русских. ). А еще - в дополнение к этому - налоги. (и дело не только в том, что они сокращают доход, а в том, что платить налоги - отдельный скилл). Если вы резидент Грузии - вы должны платить налоги в Грузии (даже если российский паспорт).
Вполне верится. Так как паспортные данные и всё остальное граждан РФ чуть подешевели на черном рынке. Вполне подходит для открытия аккаунта в Яндекс кошельке или любом другом сервисе.
Почему не сделали без всякой регистрации - на вход ФИО + номер военного билета + номер паспорта, на выходе - булево (есть/нет повестки)/ошибка 400(во входящих данных косяк)
Почему для проверки штрафов ГИБДД такой подход достаточен?
на выходе
А на выходе insert into army.list2024 (fio, militaryid, passportid)....
и return true
Как будто сейчас ничего не мешает это сделать...
... и до первого человека сфамилией '; DROP TABLE army.list2024;
:-) :-) :-)
О, маленький Бобби Тейбл!..
Хотели сказать Дроппи Тейбл ?
Всё-таки Бобби
Судя по вебархиву - 2007 год... https://web.archive.org/web/20071101012739/https://xkcd.com/327/
В комментариях классическое "все не так однозначно, всей правды мы не узнаем".
IDOR был активен пару часов, перебирать пользователей можно было легко, тк ГУ используют guid примерно никогда даже в официальной документации, можете зайти в куки ГУ и найти там свой ID под кукой с именем u.
Вообще у ЕСИА богатый API, когда то занимался интеграцией и получением данных.
Из плюсов (или минусов?) данных там так много, что все данные оттуда за такой короткий срок утащить точно не могли. Но думаю желающие нашлись, впрочем не в первый раз. Чинуши как обычно будут все отрицать, не барское это дело перед холопами извиняться.
IDOR был активен пару часов, перебирать пользователей можно было легко
Но из пруфов у нас один замыленный жсон?
Чинуши как обычно будут все отрицать, не барское это дело перед холопами извиняться.
Извиняться за проблему, которая никем не подтверждена, а из пруфов только один замыленный жсон?
Вот бы ссылочку на RT, да?
Хотя бы на первоистоник.
Статья вроде написана, но не понятно кто и как нашел, т как работает. Автор сказал что мопед не его и повторить уязвимость у него не получилось. Источника рисунка он не привел, кроме которого у него ничего нет.
К чему статья тогда?
Если в статье приводятся безоценочные факты, достоверность которых можно провалидировать, не имеет совершенно никакой разницы, где именно опубликованы эти факты. Хоть в Вестнике Кремля, хоть на телеканале Дождь, хоть на RT.
То, что вы продвигаете, называется "прямые бездоказательные утверждения" и это самый простейший тип демагогии. Вы прям буквально, как по учебнику, используете неявные умолчания (чинуши как всегда все украли и будут отрицать), ссылки на недостоверные источники (в виде замыленного скриншота какого-то жсона) и эмоционально окрашенные термины (зачем-то ни к селу, ни к городу упоминая страшный и ужасный RT)
Похоже там было что-такое: при авторизации на ГУ оттуда приходил uid (сейчас его можно глянуть в куке, он там с буковкой u), дак втт этот uid это даже не guid, а 9-значный номео, если не ошибаюсь. А суть в том, что на роуте видимо не было проверки принадлежности токена к передаваемому uid, или вообще проверки не было, и соответственно, перебирая или зная этот uid можно было получить все данные. Сегодня утром посмотрел, сделана проверка на принадлежность токена к uid, перебирая uid с одним токеном получаешь 403
Какая же срань. Ростелеком - вы говно.
Мы в каком веке живём? Почему идентификатор пользователя в базе данных федерального значения - это грёбаный автоинкремент?
вдохновились этой статьей небось:
https://habr.com/ru/articles/265437/
а там написано что он быстрее :)
Ты когда в школе базы данных проектировал или в институте не автоинкремент как первичный ключ использовал что ли?
Мы в каком веке живём? Почему идентификатор пользователя в базе данных федерального значения - это грёбаный автоинкремент?
Потому что те, кто с мозгами — те свинтили ешё при Ельцине. А сейчас берут лучших из худших.
Я вчера ночью пробовал это апи вызвать, оно просто не работало и возвращало 504 Gateway Timeout, так что думаю вырубили на время пока фиксили
видишь такой заголовок и думаешь сразу, а впрочем ничего нового
Дык, лучшие мировые практики же. Тяп-ляп и в продакшен. Нельзя отставать от флагманов IT отрасли.
Хотя бы вот:
https://habr.com/ru/companies/pt/articles/840938/
Я правильно понимаю, что из доказательства утечки есть только изображение замыленного JSON'а, данные в котором легко фальсифицировать (или даже просто указать свои данные и замылить)?
На фоне новости задумался, а что из себя представляет ID на госуслугах?
Пожалуйста, скажите, что это не грёбаный автоинкремент.
Ответ оказался выше
Это типа как в кино "Брат2" где они на компе данные банкира смотрят , сливали сливают и будут сливать , а наказание за это штраф , а потерпевшим вообще просто "извините"
Имя, фамилию, паспорт, прописку можно поменять, отпечатки пальцев и рисунок радужной оболочки поменять сложнее. Вопрос времени, когда их сольют.
Географическое положение призывника для ракет СБУ не пробовали добавить?
Если все так печально, может быть найдется Bobby Tables, полстраны будет ему благодарно
Сайт реестра электронных повесток слил персональные данные пользователей