Cybersec创始人公开奔萨州服务网站

年12月28日，俄文版《福布斯》称，发现并发布了奔萨地区国家服务区域门户网站部分源代码的Cybersec创始人VladislavKhorokhorin披露了其行为的原因。此外，一位信息安全专家和他的同事讲述了他们在泄密事件中的发现。Khorokhorin透露，他从一位同事那里了解到，由于奔萨地区国家服务区域门户的Git存储库的安全设置不正确，可能存在问题。同样在此事件的Cybersec网站上，仅发布了指向数据档案的一部分的链接，而不是指向该信息处于公共领域时公司员工能够获得的整个数据档案的链接。现在，访问此数据由公共服务的开发者关闭。Khorokhorin发现问题后，就Gosuslug门户以及其他政府网站的数据泄露问题联系了Gosuslug网站的安全服务。他写道，此泄漏包含可用于访问的数字证书，特别是用于访问国家服务的统一身份验证系统(ESIA)。在多次致电对事件进行详细分析后，Khorokhorin没有收到公共服务开发商的任何回应。Khorokhorin说，泄漏不是通过奔萨州服务网站本身发生的，而是通过莫斯科改造基金的网站发生的，该网站使用与奔萨州服务资源的联合存储库。据他介绍，在同一个存储库中，还有其他政府资源的片段或完整代码。Cybersec没有公布他们的数据。该公司的专家解释说，“对数据的粗略分析”表明，政府资源正在使用“陈旧的图书馆，这可能会导致严重的问题”。此外，据Cybersec称，联邦和地区部门大约70%使用相同的代码库。Khorokhorin向该出版物解释说，他的同事并不是第一个在国家服务网站上发现漏洞的人。他建议在一段时间内，攻击者可以利用这个漏洞获取俄罗斯用户的个人数据。霍罗霍林表示，他公开了部分已发现的公共服务源代码，以引起人们对公共资源网络安全水平低的大问题的普遍