Эксперт обнаружил, что на сайт законодательства России можно зайти под admin/admin. Сейчас это исправлено



    21 января 2021 года разработчик и основатель компании по кибербезопасности «Vee Security Россия» Александр Литреев рассказал в Twitter, что он смог авторизироваться на веб-портале законодательства России под учетными данными admin/admin. Сейчас это исправлено.

    Литреев пояснил изданию «Новая Газета», что не делал никаких изменений на сайте и просто зашел туда случайно. Он уточнил, что это не единственный портал с подобными проблемами, а есть еще четыре веб-сайта с уязвимыми системами доступа. Литреев не раскрыл, сообщит ли он разработчикам об этих проблемах.

    Представители портала iPhones.ru рассказали, что смогли проверить вход на сайт под учетными данными admin/admin, но там ничего нельзя было делать на сайте — все разделы были пустые. Они предположили, что это было сделано специально, а доступ к настоящей панели администратора закрыт.

    Подобные действия в информационных системах, позволяющие получить неправомерный доступ к компьютерной информации, являются уголовным правонарушением, например, по статье 272 УК РФ «Неправомерный доступ к компьютерной информации».

    Минутка заботы от НЛО


    Этот материал мог вызвать противоречивые чувства, поэтому перед написанием комментария освежите в памяти кое-что важное:

    Как написать комментарий и выжить
    • Не пишите оскорбительных комментариев, не переходите на личности.
    • Воздержитесь от нецензурной лексики и токсичного поведения (даже в завуалированной форме).
    • Для сообщения о комментариях, нарушающих правила сайта, используйте кнопку «Пожаловаться» (если доступна) или форму обратной связи.

    Что делать, если: минусуют карму | заблокировали аккаунт
    Кодекс авторов Хабра и хабраэтикет
    Полная версия правил сайта

    Комментарии 15

      +6
      «Хотели бы взломать — взломали бы» (С)
        0
        Вполне возможно, что всё уже давно взломано и получен полный контроль. Только вот найти следы присутствия видимо некому :)
        +2
        Видимо, они считали что законы защищают лучше надежного пароля.
        Есть вероятность что они в конце пароля просто добавили «1».
          +1
          Версия, что это honeypot тоже вполне правдоподобная.
            +8
            «Никогда не приписывайте злому умыслу то, что вполне можно объяснить глупостью»
            Бритва Хэнлона
              0
              Глупость была бы, если бы внутри действительно были бы какие-то данные. А в данном случае после ввода пароля ты всё равно никуда не попадаешь. Безопасность никак не пострадала, а вот инцидент возможно куда-то записан.
                0
                А смысл от этой записи? Если к данным доступа не было, то и нарушения никакого не было. Не за что привлекать. Или я не прав?
                  0
                  Это примерно как украсть кошелек, а он пустой. Или взломать квартиру, а там ничего.
                  Факт нарушения есть. Случайно туда не попасть, а тут просто засветились
                    +2
                    Аналогии такие аналогии.
                    Если украсть кошелёк, а там ничего нет, то у вора всё равно будет сам кошелёк.
                    Вскрыть квартиру и ничего не украсть это проникновение на частную собственность.
                      0
                      Добавлю что и вскрытие двери — это уже нанесенный ущерб.
                      Домушники не заинтересованы во вскрытии с наименьшими повреждениями замков и двери. Для них главные критерии это скорость и не высокий уровень шума.

                      Проникновение в на частную собственность через дверь в которой оставлены ключи — возможно и нарушение, но у меня большие сомнения что кто-то заведет дело в случае когда за этой дверью никакого ущерба приченено не было.
            0
            1. Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации, — Примечания. 1. Под компьютерной информацией понимаются сведения (сообщения, данные), представленные в форме электрических сигналов, независимо от средств их хранения, обработки и передачи.

            Интересно как можно уничтожить, копировать, блокировать, модифицировать сигнал? Это все можно сделать с данными, и это как раз позволит сделать физика этих сигналов
              0
              Шапочкой из фольги же!
              0
              Подобные действия в информационных системах, позволяющие получить неправомерный доступ к компьютерной информации, являются уголовным правонарушением
              А можно-ли саму установку admin/admin для авторизации считать при этом действими в информационных системах, позволяющие получить неправомерный доступ к компьютерной информации?
                +2

                Можно. Админ который там работал за копейки получит условный срок, штраф 100500 денег и увольнение по статье. Начальник, который ставил задачу в пятницу, с требованием показать результат в понедельник получит премию и повышение.

                0
                там даже httpS не прикручен

                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                Самое читаемое