⚡️ Внутренние документы портала «ГосУслуги» оказались в открытом доступе

Как известно, российские власти активно продвигают портал «ГосУслуги», на разработку которого было потрачено более 495 миллионов (полмиллиарда!) рублей. Ресурс позиционируется как централизованный сервис взаимодействия с различными государственными службами и органами — с помощью него можно оформить паспорт/загранпаспорт, водительское удостоверение, получить справку об отсутствии судимости и многое другое. 

К системе подключены практически все ведомства страны — в том числе, спецслужбы ФСБ, министерство обороны, МВД и другие.

Казалось бы, такой сервис должен быть надежно защищен, а информация о его внутренней работе должна быть крайне конфиденциальной и чувствительной информацией, ведь любая её компрометация может привести к непредсказуемым последствиям. Что ж, в сами «ГосУслугах» так не считают. Теперь чуть подробнее об этом:

Естественно, работа с такой системой требует технической интеграции со стороны всех ведомств. В рамках таких интеграций пересылается конфиденциальная информация граждан РФ, вплоть до их номеров паспортов, истории отчислений в пенсионный фонд, информации о выездах за границу, семейном положении, месте проживания и так далее. Для такого взаимодействия был создан специальный портал с громким названием — Система Межведомственного Электронного Взаимодействия. Именно через него подключаются все региональные и федеральные органы.

Каково было же моё удивление, когда я узнал, что абсолютно _ВСЯ_ база рабочих документов, касающихся интеграции лежит в открытом доступе, никак не зашифрована, не имеет никакой авторизации/аутентификации и, в принципе, скачать её может абсолютно кто угодно. Достаточно воспользоваться адресом:

http://smev.gosuslugi.ru/portal/api/files/get/XXXXX

где XXXXX — порядковый номер документа в системе. 

Естественно, не составляет никакого труда написать скрипт, который обеспечит перебор всех таких адресов и выгрузит все такие документы, что уже успели сделать энтузиасты из одного соседнего государства. Я тоже полюбопытствовал. Что же вы думаете я нашел?

Ну, например в открытом доступе лежит файл МВ ответственные.xlsx, в котором содержится информация обо всех ответственных за интеграцию в ведомствах и органах лицах. В списках указаны их ФИО, должность, их как служебные, так и личные мобильные телефоны, адрес электронной почты для связи по вопросам интеграции.

Самое забавное, что оказывается, во многих ведомствах не особо пекутся о безопасности (вообще не пекутся). Так, например, не какой-нибудь там рядовой сотрудник ФСБ, а сам Руководитель подразделения межведомственного взаимодействия ФСБ Мелин Александр Васильевич использует (внимание) личную почту на Мейл.ру!

В открытом доступе полно и других документов, большую часть из них составляют руководства по выгрузке/загрузке данных из ГосУслуг. Так например, можно, выбрав случайное число, скачать документацию по взаимодействию СМЭВ у комитета по молодежной политике:

В документах подробно описаны порядки составления запросов, их формат, информация о том, что и куда слать. Комитет по молодежной политике Свердловской области — это еще самое безобидное, что можно было найти. В открытом доступе лежат и аналогичные документы по ФСБ, МВД, Министерству Обороны и множеству других ведомств.

Или, например, посмотреть статистику об отключении сервисов различных ведомств, их недоступности и так далее:

Вот так и получается, что нам с вами господин Клишас и Яровая втирают в десна свои небылицы про мифические угрозы из-за рубежа, в то время, когда важнейший государственный сервис выставляет чувствительную информацию в открытый общий доступ.

С вами ковырялся в дырявой государственной помойке,

Александр @alexlitreev Литреев

P. P. S. Подписывайтесь на канал в Телеграме, так на 95% безопаснее и законом не запрещено (пока что): https://t.me/alexlitreev_channel