P. S. С Госуслугами всё в порядке, есть только один нюанс...
Если людям не нравилось как долго грузится сайт госуслуг, то теперь они могут просто сделать себе свои:
На поддоменах .mos.ру яростно пренебрегали ограничениями к каталогам .git. Я не знаю какова ситуация сейчас, проблему я зарепортил. Однако.
В сухом остатке осталась куча исходного кода, которым я с удовольствием делюсь с вами.
Чтобы понимать. В исходниках почти все госуслуги (ранней или поздней версии), сертификаты есиа (на данный момент работать уже наверняка не будут), и почти 2гб исходного кода битрикс, который, тебе, мой друг и предстоит изучить. В сухом остатке: Госуслуги = Битрикс, ЕСИА = OpeinId (причем даже не донатили). Ну а дальше — судите сами.
Госуслуги взломаны.
Для тех, кто всё-таки силён в IT :
1) имея на руках открытый код гораздо проще исследовать и тестировать уязвимости. 100% безопасного кода в таких огромных проектах не бывают, так что с высокой долей вероятности что-то, да найдут;
2) при помощи утекших сертификатов можно проводить фишинговые атаки и похищать ваши данные. Пока непонятно, успели ли сертификаты отозвать и заменить, так как времени с момента публикации прошло совсем немного, а Госуслуги обрадовали наличием уязвимости в 4 часа утра на выходных.
Пока что катастрофы не произошло, но риски дальнейших утечек достаточно высокие.
Автор: Александр Прохоров
Оригинальный пост
