Взлом «Госуслуг»: белорус нашел уязвимости государственного сайта РФ

Пользователь сайта «Госуслуги» обнаружил уязвимость на портале, позволяющую производить подмену данных в направляемых документах. Благодаря этому гражданину Белоруссии удалось оформить замену российских водительских прав на сайте и получить скидку на госпошлину.

«Краткая предыстория такова — я белорус, живу в Санкт-Петербурге, и решил я заменить имеющиеся у меня российские водительские права. Узнав о скидке в 30% при замене через сайт Госуслуг, я, как алчный белорус, решил сразу этим воспользоваться. Сразу скажу, противозаконного ничего совершено не было, иначе бы эта статья не появилась. Зашёл на Госуслуги, выбрал в меню заявлений „Замена водительского удостоверения“. Заполняю все поля, жму „Отправить“, и бац — ошибка. „Поле обязательно для заполнения“», — написал автор сайт « Хабр».

Затем он подробно описывает процесс, как он смог обойти ограничения системы и вставить необходимые данные. «Лично меня удивляет, что на одном из крупнейших официальных государственных порталов есть возможность подмены данных. Пусть даже это оказалось для меня как нельзя кстати. Это же можно спокойно обработать проверкой в бэк-энде, как это теоретически и должно делаться. Ведь в теории и в каком-нибудь онлайн-банке возможна такая же примитивная инъекция данных», — отмечает автор.

По мнению эксперта в сфере государственных данных Ивана Бегтина, эта история должна стать сигналом для пересмотра состояния информационной безопасности государственных ресурсов: «Вопрос о том проходят ли государственные информационные системы аудит безопасности — давно пора поднять. А то ведь и одной утечки будет достаточно, чтобы все полетело в тартарары», — считает эксперт.