Исходный код Госуслуг утёк в сеть

Оставили каталоги .git на поддоменах *.mos.ru в открытом доступе и хакер Владислав Хорохорин успешно всё оттуда выкачал. Архив с исходниками весит 7 гигов — там сами госуслуги и сертификаты ЕСИА.

Безопасного кода не существует, а имея на руках исходники — гораздо проще искать уязвимости. С сертификатами ЕСИА злоумышленники смогут похитить данные россиян с помощью фишинга. Неизвестно, отозвали ли и заменили ли сертификаты на данный момент.

Администрацию Госуслуг предупреждали об уязвимости и раскрыли все её детали, но ответа не последовало.



Если людям не нравилось как долго грузится сайт госуслуг, то теперь они могут просто сделать себе свои:

На поддоменах .mos.ру яростно пренебрегали ограничениями к каталогам .git. Я не знаю какова ситуация сейчас, проблему я зарепортил. Однако.
В сухом остатке осталась куча исходного кода, которым я с удовольствием делюсь с вами.
Чтобы понимать. В исходниках почти все госуслуги (ранней или поздней версии), сертификаты есиа (на данный момент работать уже наверняка не будут), и почти 2гб исходного кода битрикс, который, тебе, мой друг и предстоит изучить. В сухом остатке: Госуслуги = Битрикс, ЕСИА = OpeinId (причем даже не донатили). Ну а дальше — судите сами.
Госуслуги взломаны.
Для тех, кто всё-таки силён в IT :
1) имея на руках открытый код гораздо проще исследовать и тестировать уязвимости. 100% безопасного кода в таких огромных проектах не бывают, так что с высокой долей вероятности что-то, да найдут;

2) при помощи утекших сертификатов можно проводить фишинговые атаки и похищать ваши данные. Пока непонятно, успели ли сертификаты отозвать и заменить, так как времени с момента публикации прошло совсем немного, а Госуслуги обрадовали наличием уязвимости в 4 часа утра на выходных.
Пока что катастрофы не произошло, но риски дальнейших утечек достаточно высокие.

via