Украинский специалист в области IT, Ярослав Гарагуц, обнаружил, что пароль от сервера с резервными копиями Портала державної електронної системи у сфері будівництва (e-construction.gov.ua) находится в открытом доступе. Об этом он сообщил на своей странице в Facebook. Фокус попросил Андрея Барановича, эксперта по кибербезопасности, прокомментировать данное "открытие".

"Есть "кабинет застройщика", или более официально "Портал державної електронної системи у сфері будівництва". У него есть сайт, позволяющий с этим кабинетом работать, и есть API (application programming interface, набор определений подпрограмм, протоколов взаимодействия и средств для создания программного обеспечения и дальнейшей работы с ним, — ред.) — интерфейс для автоматической работы. И если сделать к этому API самый простой запрос, то в ответ (помимо данных, которые открытые по умолчанию) вылетает пароль от сервера, на котором хранятся резервные копии данных Портала. Если получится найти этот сервер в Интернете, то можно ввести логин и пароль и скачать абсолютно всё", — пояснил эксперт.

"Супероткрытые" данные e-construction.gov.ua. Фото: скриншот из Facebook

По словам Барановича, даже, если это сервер находится во внутренней сети, а не в Интернете, все равно такая ситуация недопустима, так как является грубейшим нарушением правил кибербезопасности.

"В любом случае пароли никогда не должны появляться в открытом виде. Никогда. Тем более от сервера с резервными копиями. Это все равно, что дубликат ключа от банковской ячейки вывесить за двери. Такого быть не должно", — констатирует Андрей Баранович.

Минцифры пока не комментировало данный инцидент.

Источник: focus.ua