«Госуслуги» закрыли одну уязвимость после публикаций экспертов по IT-безопасности и нашего расследования. Теперь там стоит блокиратор waf и при использовании выдаётся ошибка. Независимый исследователь Сергей Дьяконов связывает это со своей публикацией и с выходом расследования «Роскомсвободы».
«Я считаю что публикация привела к изменению правил безопасности», — заявил он.
Напомним, ранее мы опубликовали текст «Портал государственных проблем: как «Госуслуги» стали инструментом политической борьбы и раем для мошенников». В материале в том числе рассказывается, что в сентябре 2021 года эксперт по IT-безопасности из SafeNet Игорь Бедеров обратил внимание на уязвимость, позволяющую злоумышленникам получить доступ к аккаунтам пользователей «Госуслуг». Её суть заключается в том, что после ввода «капчи» пользователь может быть перенаправлен на мошеннический ресурс. Об уязвимости специалист сообщил администрации портала.
Спустя два месяца, в ноябре, наличие этой уязвимости решил проверить и Дьяконов. Он обнаружил, что с сентября проблема не была исправлена. Но в декабре, по времени — после расследования — дыру закрыли.
«Мне кажется, что материалы не стали прямой причиной к закрытию уязвимости. Вполне возможно, что они повлияли, но не только они, — размышляет автор статьи про «Госуслуги» Андрей Серафимов. — Но и такой результат — уже круто».
Журналист также добавил, что было бы здорово, если бы «Госуслуги» использовались по назначению, поскольку идея доступа к государственному сектору в телефоне «просто отличная, однако всё губит вмешательство политики».
«С точки зрения пользователя и безопасности, я думаю, на государственных порталах необходимо автоматически включать 2ФА. Google же сделал её обязательной для всех — что мешает властям?» — заключил Серафимов.
Главное за неделю в области права.
23 декабря 2022 года Минюст включил Роскомсвободу в реестр незарегистрированных общественных объединений, выполняющих функции иностранного агента. Мы не согласны с этим решением и обжалуем его в суде.