P. S. З Дзяржпаслугамі ўсё ў парадку, ёсць толькі адзін нюанс...

Калі людзям не падабалася як доўга грузіцца сайт дзяржпаслуг, то зараз яны могуць проста зрабіць сабе свае:

У сухой рэштцы засталася куча зыходнага кода, якім я з задавальненнем дзялюся з вамі.

Каб разумець. У зыходніках амаль усе дзяржпаслугі (ранняй ці позняй версіі), сертыфікаты есиа (цяпер працаваць ужо напэўна не будуць), і амаль 2гб зыходнага кода бітрыкс, які, табе, мой сябар і трэба будзе вывучыць. У сухім астатку: Дзяржпаслугі = Бітрыкс, ЕСІА = OpeinId (прычым нават не данатылі). Ну а далей - мяркуйце самі.

Дзяржпаслугі ўзламаны.

Для тых, хто ўсё ж такі моцны ў IT:

1) маючы на ​​руках адчынены код значна прасцей даследаваць і тэставаць уразлівасці. 100% бяспечнага кода ў такіх велізарных праектах не бываюць, так што з высокай дзеллю верагоднасці нешта, ды знойдуць;

2) пры дапамозе збежных сертыфікатаў можна праводзіць фішынгавыя напады і выкрадаць вашыя дадзеныя. Пакуль незразумела, ці паспелі сертыфікаты адклікаць і замяніць, бо часу з моманту публікацыі прайшло зусім няшмат, а Дзяржпаслугі ўзрадавалі наяўнасцю ўразлівасці ў 4 гадзіны раніцы на выходных.

Пакуль што катастрофы не адбылося, але рызыкі далейшых уцечак дастаткова высокія.

Больш падрабязна ў крыніцы паста на cybersec'е. Усіх з надыходзячым!

Аўтар: Аляксандр Прохараў

Арыгінальны пост

bbabo.Net