P. S. З Дзяржпаслугамі ўсё ў парадку, ёсць толькі адзін нюанс...
Калі людзям не падабалася як доўга грузіцца сайт дзяржпаслуг, то зараз яны могуць проста зрабіць сабе свае:
У сухой рэштцы засталася куча зыходнага кода, якім я з задавальненнем дзялюся з вамі.
Каб разумець. У зыходніках амаль усе дзяржпаслугі (ранняй ці позняй версіі), сертыфікаты есиа (цяпер працаваць ужо напэўна не будуць), і амаль 2гб зыходнага кода бітрыкс, які, табе, мой сябар і трэба будзе вывучыць. У сухім астатку: Дзяржпаслугі = Бітрыкс, ЕСІА = OpeinId (прычым нават не данатылі). Ну а далей - мяркуйце самі.
Дзяржпаслугі ўзламаны.
Для тых, хто ўсё ж такі моцны ў IT:
1) маючы на руках адчынены код значна прасцей даследаваць і тэставаць уразлівасці. 100% бяспечнага кода ў такіх велізарных праектах не бываюць, так што з высокай дзеллю верагоднасці нешта, ды знойдуць;
2) пры дапамозе збежных сертыфікатаў можна праводзіць фішынгавыя напады і выкрадаць вашыя дадзеныя. Пакуль незразумела, ці паспелі сертыфікаты адклікаць і замяніць, бо часу з моманту публікацыі прайшло зусім няшмат, а Дзяржпаслугі ўзрадавалі наяўнасцю ўразлівасці ў 4 гадзіны раніцы на выходных.
Пакуль што катастрофы не адбылося, але рызыкі далейшых уцечак дастаткова высокія.
Больш падрабязна ў крыніцы паста на cybersec'е. Усіх з надыходзячым!
Аўтар: Аляксандр Прохараў
Арыгінальны пост
bbabo.Net