UPD: основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян подтвердил «Коду Дурова» факт утечки из открытого репозитория, однако отметил, что речь идёт об исходном коде Регионального портала госуслуг (РПГУ) Пензенской области. По данным эксперта, пользовательские данные утечка не затронула.
Ресурс cybersec.org выложил в открытый доступ исходный код «Госуслуг». Он был скачан авторами ресурса с поддоменов mos.ru — исходники портала в виде каталогов .git находились там в незашифрованном виде.
Помимо кода «Госуслуг», в открытом доступе оказались и сертификаты ЕСИА — они были получены подобным образом. Изучив исходники, авторы утечки сделали вывод, что «Госуслуги» построены на базе «Битрикс», а ЕСИА — на базе OpenID.
В своём сообщении автор поста на cybersec.org отмечает, что перед публикацией он сообщил администрации «Госуслуг» об утечке данных, но там лишь попросили детальное описание проблемы, а затем перестали выходить на связь.
Теперь, когда исходники «Госуслуг» находятся в открытом доступе, киберпреступникам будет проще искать уязвимости в госсервисе, поэтому потенциально это может привести к более серьёзным утечкам персональных данных пользователей портала.
Напомним, что в ноябре Минцифры сообщило о рекордной DDoS-атаке на «Госуслуги», которая составила свыше 680 гигабит в секунду:
