Вайтишники из ‘ИТ Ассоциации’ держали репозитории ‘Дія City’ в открытом доступе
И это не шутка. Министерство и Комитет цифровой трансформации Украины сетовали, дескать ebanoe.it не написали о презентации «Дія City», исправляем этот момент.
Про що так і не написали в DOU та ebanoe.it. Онлайн-презентація від міністра та команди
— именно с такой подводки начинается лендинг сайт (http://dc.diia.gov.ua/) грядущего проекта от МинЦифры, который должны презентовать 5-го апреля 2021.
Это впервые о самом скандальном ИТ ресурсе Украины и СНГ написали на государственном сайте. Редакция оценила этот юмор и смелость.
30.03.2021 — к нам на почту пришло анонимное письмо от неустановленного специалиста по кибербезопасности (итальянские хакеры?) или просто шарящего вебдевелопера. В теле письма речь ишла об уязвимости на этот самом промо-вебсайте с анонсом презентации. Редакция внимательно ознакомилась с предоставленными материалами и проверила, что описанная уязвимость действительно имеет место быть и реально критическая. Мы решили уведомить Министерство об находке, чтобы они залатали свою оплошность, прежде чем статья об этом будет опубликована на ресурсе ebanoe.it и общественность получит доступ к этой дыре госструктуры и хер его знает как могли бы это использовать в своих целях или еще глубже навредить госструктуре. Как-ни-как у нас с ними есть общая цель: это сделать украинское ИТ менее ебаным и более профессиональным.
По нашим данным эта дыра существовала как минимум с 21.03.2021 и хз какие спецслужбы каких стран на тот момент могли получить доступ к репозиториям на тот момент.
Ключевой момент в этой всей истории — никакого взлома не было, никто ничего не ломал. Люди просто ознакомились с тем что лежало в открытом доступе и на поверхности.
На текущий момент эта уязвимость уже закрыта, поэтому публикуем с чистой совестью.
В общем халатность и непрофессионализм команды работающей над «Дiя City» привела к тому, что на ресурсе dc.diia.gov.ua в открытую лежал git репозиторий лендинг промоушен-странички, а также креденшиалзы к доступу в другие репы проектов на их гитлабе.
Обнаружилось это просто потому что последний коммит был скраулен поисковыми роботами и засветился в поисковиках.
а дальше это позволило проверить «неужели они .git папку в свободном доступе держат?» — и таки да! это ПИЗДЕЦ #1
далее в папке конфига В ОТКРЫТУЮ красуются логин + пароль + auth = это ПИЗДЕЦ #2
не хочу даже тыкать носом в откровенное говно, что в 2021г кто-то еще использует ПАРОЛЬ в текстовой версии вместо токена..
+я на 99.99% уверен, что большинство вашей текущей команды — это вайтишники, СЛУЧАЙНО получившие должностя после окончания ссаных курсов. Ведь про такую же уязвимость мы публиковали материал еще в 2016году.
без проблем скачивается незащищенный .git-репозиторий — ну а хули, может это специальные дополнительные материалы к грядущей презентации мега-проекта от топовых специалистов формошлепов предоставленных Ассоциацией IT Ukraine.
содержимое репо:
скажите, зачем вам для этого простого лендинга использовать Kubernetes ??? Кто до такого додумался или кто эту дичь протолкнул в команде?
остаточные файлы которые удалили, но их можно восстановить:
D 404.html
D components/popup.php
D composer.json
D composer.lock
D css/_fonts.scss
D css/_popup.scss
D css/_slick-teame.scss
D css/_slick.scss
D css/_variables.scss
D css/bootstrap.min.css
D css/mailerlite-3804376.css
D css/mailerlite-3804889.css
D css/tilda-animation-1.0.min.css
D css/tilda-blocks-2.14.css
D css/tilda-carousel-1.0.min.css
D css/tilda-forms-1.0.min.css
D css/tilda-grid-3.0.min.css
D css/tilda-popup-1.1.min.css
D css/tilda-slds-1.4.min.css
D css/tilda-zoom-2.0.min.css
D files/page18183963body.html
D files/page18183968body.html
D fonts/PTMono-Regular/PTMono-Regular.eot
D fonts/PTMono-Regular/PTMono-Regular.otf
D fonts/PTMono-Regular/PTMono-Regular.svg
D fonts/PTMono-Regular/PTMono-Regular.ttf
D fonts/PTMono-Regular/PTMono-Regular.woff
D fonts/PTMono-Regular/fonts.css
D fonts/e-Ukraine-Light/e-Ukraine-Light.eot
D fonts/e-Ukraine-Light/e-Ukraine-Light.otf
D fonts/e-Ukraine-Light/e-Ukraine-Light.svg
D fonts/e-Ukraine-Light/e-Ukraine-Light.ttf
D fonts/e-Ukraine-Light/e-Ukraine-Light.woff
D fonts/e-Ukraine-Light/fonts.css
D fonts/e-Ukraine-Medium/e-Ukraine-Medium.eot
D fonts/e-Ukraine-Medium/e-Ukraine-Medium.otf
D fonts/e-Ukraine-Medium/e-Ukraine-Medium.svg
D fonts/e-Ukraine-Medium/e-Ukraine-Medium.ttf
D fonts/e-Ukraine-Medium/e-Ukraine-Medium.woff
D fonts/e-Ukraine-Medium/fonts.css
D fonts/e-Ukraine-Regular/e-Ukraine-Regular.eot
D fonts/e-Ukraine-Regular/e-Ukraine-Regular.otf
D fonts/e-Ukraine-Regular/e-Ukraine-Regular.svg
D fonts/e-Ukraine-Regular/e-Ukraine-Regular.ttf
D fonts/e-Ukraine-Regular/e-Ukraine-Regular.woff
D fonts/e-Ukraine-Regular/fonts.css
D htaccess
D js/bootstrap.min.js
D js/hammer.min.js
D js/jquery-1.10.2.min.js
D js/jquery-3.2.1.min.js
D js/jquery.lazy.min.js
D js/jquery.viewportchecker.js
D js/js.js
D js/lazyload-1.3.min.js
D js/slick.min.js
D js/tilda-animation-1.0.min.js
D js/tilda-animation-sbs-1.0.min.js
D js/tilda-blocks-2.7.js
D js/tilda-cover-1.0.min.js
D js/tilda-events-1.0.min.js
D js/tilda-forms-1.0.min.js
D js/tilda-scripts-3.0.min.js
D js/tilda-zoom-2.0.min.js
D js/tildastat-0.2.min.js
D js/ya-share.js
D map-style_dark.json
D package-lock.json
D package.json
D «pic/City Logo WHT.svg»
D «pic/Ellipse 58.svg»
D «pic/Ellipse 60.svg»
D «pic/Ellipse 61.svg»
D «pic/Ellipse 62.svg»
D «pic/Ellipse 64.svg»
D «pic/Group 19.svg»
D «pic/Group 55.svg»
D «pic/Group 719.svg»
D «pic/Star 2.svg»
D «pic/Vector 24.svg»
D «pic/Vector 25.svg»
D pic/bottom-mob-ds-bg.svg
D pic/bottom-mob-form-bg.svg
D pic/bottom-mob-left-lofo-bg.svg
D pic/bottom-mob-right-lofo-bg.svg
D pic/bottom-mob-slide-bg.svg
D pic/bottom-mob-spic-bg.svg
D pic/bottom-mob-table-bg.svg
D pic/wov.svg
D «pic/Ленд Дія City.zip»
D «pic/Ленд Дія City/Group 198.svg»
D «pic/Ленд Дія City/soc-fb.svg»
D «pic/Ленд Дія City/soc-insta.svg»
D «pic/Ленд Дія City/soc-tw.svg»
D «pic/переваги 1.svg»
D «pic/форма (1).svg»
D pic/форма.svg
D pic/➀.svg
D pic/➁.svg
D pic/➂.svg
D policy.html
D readme.txt
D robots.txt
D send.php
D thanks.html
D thx.php
D video/compressed.mp4
D video/video-bg.mp4
в общем дальше ПРЕДОСТАВЛЕННЫЕ креды с логином и паролем можно было использовать для отправки НОВЫХ КОММИТОВ, а также для вытаскивания всего остального что на гитлабе. Благо адрес гитлаба и нужный порт тоже лежали в открытую! Браво!
Хронология событий:
30.03.2021 — анонимное письмо с находкой приходит на [email protected]
31.03.2021 в 23:05 — мы сообщаем об уязвимости В ДЕТАЛЯХ на соответствующий секьюрити имейл [email protected] и [email protected] (контактный имейл МинЦифры)
01.04.2021: — 11:00, спустя 12 часов никаких ответов или приветов, дыра всё еще не открыта
14:45 — мы уже даже на Facebook пытаемся достучаться до них, чтобы обратили внимание
17:00 — получаем ответ с [email protected]
Доброго дня!
Зверніться в службу підтримки Дія в чат бот або на електронну [email protected]
ну охуеть ведь! им на блюдечке приносишь багхант и говоришь «ваши проекты утекают в сеть!», а они такие «обратитесь в службу технической поддержки!» это ПИЗДЕЦ #3 !
Дорогие мои, при поступлении информации что вашу систему ебут или могут выебать — любой ваш паршивый имейл-клерк просто ОБЯЗАН БИТЬ В КОЛОКОЛА И сообщать верхушке об этом, а не перекладывать усилия по коммуникации на того кто вам сообщает о вашем проебе. Это кому надо больше?
17:10 — форвардим письмо на [email protected], дыра все еще не прикрыта.
22:00 — спустя СУТКИ БЛЯТЬ! получаем сухой ответ от [email protected]
Дякуємо за інформацію.
но уязвимость по прежднему не устранена. Целые сутки понадобились команде Министерства Цифровой Трансформации, чтобы только обратить внимание на сообщение о проблеме. Это неудовлетворительный уровень реакции на критическую киберугрозу. Вы тоже будете сутки ебланить, когда данные пользователей будут сливать в сеть????
02.04.2021 — по состоянию на 10:00 уязвимость была закрыта, .git папка скрыта. Работоспособность скомпрометированных паролей мы не проверяли, понадеялись на то что у их девопсов ума хватило пароли ревоукнуть.
вишенка на тортик в этой истории: девопс (который работает в МинЦифре и в чью зону ответственности входит поиск подобных уязвимостей на проектах/системах и мониторинг ящика security) у себя в Линкедыне показательно лайкает профильные материалы по кибербезопасности, чтобы все видели что он в мейнтстриме и следит за последними трендами. А по факту что? — типичный представитель «вайтишной» эры который логин и пароль хранил открыто в текстовм файле по урлу в проекте. Л — лицемерство.
Выводы:
Сутки на устранение критической уязвимости — это вообще не уровень команды, которая ратует за диджитализацию всей страны и прочее продвижения ИТ в массы. В МинЦифре сейчас около 20 одновременно запущенных проектов в разработке и еще 100 запланированных до конца 2021г. Эти проекты делают совершенно разные команды, как с именитых галер, так и ноунеймы, продвигаемые небезызвестным Тарасом Кицмеем (директор ИТ Ассоциации), который ни за что не несет ответственности когда под его руководством происходит слив паспортов его сотрудников. Нет никакого контроля или аудита за тем, что делают все эти люди получая зарплату из нашего крмана..
Я, как гражданин Украины, не хочу чтобы мои налоги ишли на оплату труда откровенных дармоедов, формошлепов и людей, не знакомых с понятием профессионализм. Сейчас на лицо открытый пример наплевательского отношения к кибербезопасности со стороны представителей МинЦифры. А ведь Михаил Федоров, «министр цифровой трансформации Украины», полтора года назад гнал на кибербезопасность в своем интервью изданию «Левый Берег».
https://lb.ua/news/2019/11/29/443401_mihail_fedorov_ya_uveren_100.html
Давайте оттуда рассмотрим самый лольную цитату:
Михаил, по текущим событиям оно и видно, что в «новой команде» наплевательское отношение к кибербезопасности и клиентским (читай государственным) данным. Рыба гниет с головы? Весь ваш софт пишетcя за государственные деньги и с наших налогов, а Ваша команда вот так вот его код и данные безалаберно и в открытую сливает в интернет. С таким подходом как у Вас, я надеюсь, что всю вашу «новую команду» тоже уволят/разгонят за непрофессионализм и как профнепригодных.
Какую презентацию «Дія City» вы собрались делать 5го апреля? А ниче что ваши репозитории давно в открытом доступе валялись? Вы позора хотите или хайпа? Вам нужно проводить внешний аудит всех имеющихся проектов, приложений и систем, иначе грядет очередной IT-факап национального масштаба. И меньше идите на поводу у Ассоциации ИТ Украины, к их компетенции очень много вопросов, а репутация давно запятнана.
А пока можете Анонимуса вписать в security hall of fame.