Украинский чиновник угрожает тюрьмой хакерам из-за обнаруженной уязвимости

Директор Департамента информационно-коммуникационных технологий Киевской городской государственной администрации Юрий Назаров угрожает тюрьмой этичным хакерам, обнаружившим ряд уязвимостей на сервисе авторизации Единой учетной записи киевлянина KyivID (id.kyivcity.gov.ua) и, собственно, Официальном портале Киева (kyivcity.gov.ua).

Поводом для угроз послужил пост в Facebook спикера Украинского киберальянса, украинского этичного хакера, известного в сети под ником Шон Таунсенд. Он в рамках флешмоба fuckresponsibledisclosure опубликовал информацию об уязвимости столичного ресурса. На сайте оказалась возможность реализовать content spoofing - подмену содержимого веб-страницы для того, чтобы пользователь, переходя по ссылке на якобы доверенный ресурс (в данном случае - сайт столичных властей), верил, что он просматривает подлинное содержание по требуемому адресу, когда на самом деле это не так.

Также выяснилось, что около месяца с момента сообщения об уязвимости остается открытой ХSS - тип уязвимости программного обеспечения, который позволяет атакующему внедрить клиентский сценарий в web-страницы, просматриваемые другими пользователями.

Более того, оказалось, что существует еще и уязвимость, позволяющая получить доступ к одному из серверов КГГА.

Напомним, со второй половины 2017-го года украинские хактивисты проводят акцию fuckresponsibledisclosure, направленную на поиск и публичное раскрытие уязвимостей государственных информационных ресурсов с целью общественного влияния на уровень их безопасности. За это время были обнаружены и закрыты сотни уязвимостей государственных ресурсов, среди которых и множество объектов критической инфраструктуры. Публикация о проблемах ресурсов КГГА также вышла в рамках флэш-моба frd.

- Всего найдено было несколько уязвимостей, о некоторых уже писали месяц назад. Тогда Кир Важницкий нашел беспарольную панель управления сайтом, которая позволяла редактировать сайт всем желающим, тогда же, месяц назад, я нашел уязвимость типа reflected XSS, которая позволяет атаковать пользователей портала, если они пройдут по специально сформированной ссылке, - объясняет нашему журналисту Шон Таунсенд. - Сегодня два активиста (оба пожелали остаться неизвестными) нашли еще две уязвимости. Первая - content spoofing, то есть возможность сформировать такую ссылку, что пользователь будет думать, будто сообщение было размещено на официальном сайте. Например можно разместить на официальном сайте сообщение "отошлите СМС на короткий номер такой-то и получите скидку на проезд в общественном транспорте". Вторая уязвимость - гораздо серьезнее, она позволяет получить доступ к одному из серверов КГГА.

Практически сразу пост прокомментировал СЕО компании FDI Ukraine Николай Козлов, который заявил, что "это все правится локально у человека и видно лишь ему" и порекомендовал активистам "заняться делом".

К слову, Николай Козлов ранее занимал должность СТО компании Kitsoft, которая является разработчиком официального портала Киева.

Также в комментариях "засветились" еще несколько предполагаемых сотрудников FDI Ukraine - Андрей Солодкий и Владислав Саламахо. Первый пригласил Шона Таунсенда на "экскурсию по цифровым продуктам города Киева", а второй назвал спикера УКА "главным пожарником" и "балаболом балаболовичем".

Попытки экспертов объяснить проблему данным комментаторам ни к чему не привели. Компания FDI Ukraine занимается "проектами для города Киева, внедряя электронное управление процессами и данными для общины города по учету коммунального имущества, транспорта, медицины, общественной активности, различных реестров".

Спустя какое-то время, публикацию хактивиста прокомментировал "главный айтишник столицы" - директор Департамента информационно-коммуникационных технологий Киевской городской государственной администрации Юрий Назаров. Однако вместо "разговора по существу" пригрозил всем тюрьмой:

- Кое-кому придется сесть в тюрьму за подлог и распространение фейка. Готовим заявление в СБУ и полицию, - отчитался чиновник и попросил одного из комментаторов публикации, который указывал на уязвимость, "скинуть свои контактные данные", добавив, что "остальное скинете компетентным органам".

Спикеру же Украинского киберальянса чиновник КГГА сообщил, что уже написал заявление в СБУ, и порекомендовал "поставить на аватарку свое фото".

- В комментарии к посту пришли несколько людей, связанных с КГГА, в том числе разработчики, техническая поддержка и господин Назаров - директор департамента информацинно-телекоммуникационных технологий. И эти господа пытались одновременно доказывать, что это никакая не уязвимость, что они ее исправят (уже исправили content spoofing), предлагали экскурсию с демонстрацией пятидесяти микро сервисов, как будто бы кому-то есть до этого дело и грозились заявлением в СБУ. Типично неадекватная реакция: если раньше "жертвы" флешмоба FRD переходили от одной стадии принятия неизбежного к другой, то киевская администрация умудряется все делать одновременно, даже не осознавая нелепых противоречий в собственной позиции,- комментирует спикер УКА.

Спустя 4,5 часа после публикации Шона Таунсенда уязвимость content spoofing была исправлена и спустя какое-то время господин Назаров сообщил, что "готов слышать и реагировать" на замечания и предложения. Более того, чиновник поблагодарил "за конструктив" человека, от которого требовал контактные данные и которому грозил "компетентными органами" за несколько часов до этого.

Угрозы:

Благодарность:

Мы обратились за комментарием к Юрию Назарову касательно серьезности его намерений подавать заявления в СБУ и полицию. Пока ответа от чиновника мы не получили. К слову, 1 октября на форуме Юрий Назаров заявил:

- Город оперирует колоссальным количеством личных данных граждан. Ежедневно наши специалисты отражают около десятка хакерских атак. На Петровке никто не приобретет базу данных Киева, ведь они абсолютно защищены.