"К системе подключены практически все ведомства страны – в том числе, спецслужбы ФСБ, Министерство обороны, МВД и другие. Казалось бы, такой сервис должен быть надежно защищен, а информация о его внутренней работе должна быть крайне конфиденциальной и чувствительной информацией, ведь любая ее компрометация может привести к непредсказуемым последствиям", – пишет Литреев, отмечая, что работа портала требует интеграции со стороны всех ведомств.
Эта интеграция позволяет использовать портал для передачи конфиденциальной информации граждан, включая номера паспортов, сведения об отчислениях в пенсионный фонд и выездах за границу и т.д. Для обеспечения такого обмена был создан специальный портал под названием Система межведомственного электронного взаимодействия. Через него федеральные и региональные органы власти взаимодействуют с порталом госуслуг.
"Каково было же мое удивление, когда я узнал, что абсолютно вся база рабочих документов, касающихся интеграции лежит в открытом доступе, никак не зашифрована, не имеет никакой авторизации/аутентификации и, в принципе, скачать ее может абсолютно кто угодно. Достаточно воспользоваться адресом: http://smev.gosuslugi.ru/portal/api/files/get/XXXXX, где XXXXX — порядковый номер документа в системе", – отмечает Литреев.
По его словам, в такой ситуации достаточно написать простой скрипт, который переберет все возможные номера и скачает доступные документы, "что уже успели сделать энтузиасты из одного соседнего государства". Сам Литреев нашел среди документов файл с информацией о сотрудниках госорганов, ответственных за интеграцию с порталом. Сведения содержат имена, должности, номера рабочих и личных телефонов, а также адреса электронной почты. Из таблицы, в частности, следует, что руководитель подразделения межведомственного взаимодействия ФСБ пользуется личной почтой на Mail.ru.
Основную массу документов составляют руководства по выгрузке или загрузке данных на портал госуслуг. В них описываются детали составления запросов, их формат, а также содержатся иные сведения.
На момент написания новости при попытке получить доступ к случайному документу по приведенной Литреевым ссылке система выдавала сообщение об ограниченной доступности портала СМЭВ. По всей видимости, администрация оперативно отреагировала на пост и закрыла доступ к документам.
Напомним, ранее председатель Ассоциации участников рынков данных Иван Бегтин провел большое расследование о защите данных граждан РФ. 21 апреля он обнародовал первую часть расследования, в которой говорилось об утечке 63 тысяч записей с раскрытием персональных данных из реестров удостоверяющих центров. Затем в СМИ появились материалы расследований Бегтина о миллионах записей с паспортными данными, которые хранятся в открытом доступе на электронных торговых площадках и сотнях тысяч записей с личной информацией, включая паспортные данные, доступных на сайтах различных ведомств. Последняя утечка включала данные Анатолия Чубайса и Аркадия Дворковича.