logo
16 Янв 2020
1749

С сайта с госвакансиями можно было скачать паспорт любого кандидата на работу. Детали утечки

Career.gov.ua – правительственный сайт, на котором госструктуры размещают актуальные вакансии. Там в электронном виде можно подать документы, чтобы принять участие  в конкурсе на должность. Оказалось, данные пользователей не были защищены. Что произошло и чем это грозит, разбиралась редакция MC.today


Что случилось?

Те, кто хотел работать в госорганах, вместе с заявлением на сайте отправляли свои документы: копию паспорта, идентификационный код, резюме, дипломы и так далее.  Из-за технической уязвимости портала многие личные данные оказались в свободном доступе.

Первым об этом написал написал Андрей Перевезий, бывший директор по информационным технологиям компании Ukrainian Retail Association. 

«Для того, что бы устроиться на работу в государственную структуру, необходимо заполнить анкету, резюме и загрузить свои документы на ресурс https://career.gov.ua. Так вот, загружая документы, помните, что хранятся они в открытом доступе, вот так случайно произошло, и не удивляйтесь, если на ваше имя случайно возьмут кредит», – написал он.

Неполную инструкцию, как получить доступ к персональным данным людей, оставил на своей странице в Facebook представитель Украинского киберальянса Шон Таунсенд. На деле, это оказалось достаточно просто и не требовало никаких особенных технических знаний. Меняя номер ID в URL-адресе от 000001 до 116317, можно было посмотреть и скачать копии документов разных пользователей сайта. По предварительным оценкам, пострадать могли больше, чем 50 тыс. человек.

Главную страницу сайта на некоторое время заблокировали, но примерно до 10:00 16 января некоторые пользователи все еще могли посмотреть данные с помощью URL-адреса. 

Фото: Андрей Добрыня, Facebook

Фото: Андрей Добрыня, Facebook

О том, что проблема решена, а сайт временно не будет работать, сообщила Наталья Зинченко, представительница Национального агентства по вопросам государственной службы (НАДС). В заявлении на официальном сайте агентства говорится о «сбое системы администрирования». Также есть рекомендации для тех, кто отправлял свои данные. 

Мы запросили более подробный комментарий у Натальи о том, как подобное могло произойти и кто понесет ответственность.

На ситуацию отреагировал и Омбудсмен: он пообещал провести проверку Нацагентства по вопросам государственной службы. Шон Таунсенд, который распространил информацию об утечке, посоветовал ему в комментариях под постом также починить и свой сайт. 

Чем это грозит?

Копии документов можно было использовать для мошенничества: чтобы взять на имя человека кредит, зарегистрировать его где-нибудь и так далее.

Подобные посты в соцсетях могли навредить даже больше, чем сама уязвимость сайта, считает Сергей Городецкий. В комментариях под постом он спросил, слышал ли автор о термине responsible disclosure – ответственное разглашение. Это означает, что перед тем, как сообщить об ошибке или дыре в безопасности в соцсетях, нужно рассказать об этом владельцу программного обеспечения или ресурса. 

«Я не оправдываю владельцев ресурса, но считаю, что публикация об уязвимости должна быть отложена, если владелец ресурса идёт на контакт и принимает меры по устранению, пусть даже не совсем правильные», – пишет он.

В ответ Шон Таунсенд сказал, что он с коллегами уже пытался объяснить разным органам суть и масштаб проблемы, но у них не вышло. Поэтому пришлось прибегнуть к таким радикальным действиям. В этом он видит проблему – власти не реагируют на обнаруженные уязвимости, пока не сделаешь их публичными. 

Сложно сказать, что будет, если подобным образом начнут обличать другие уязвимости в государственных сервисах.

Этот материал – не редакционный, это – личное мнение его автора. Редакция может не разделять это мнение.


Лучшее, что мы можем сделать для себя в этом сумасшедшем, постоянно меняющемся мире, — продолжать учиться.

Редакция MC.today рекомендует курс по онлайн-маркетингу от Эльдара Нагорного – мы сами его прошли.

Знать, как продвигать свое дело в интернете, полезно абсолютно всем. Зарегистрироваться можно здесь.

Топ-10 книг, которые стоит прочесть:

История о предпринимателе, который в 20 лет продал бизнес с оценкой в $100 тыс, а в 2017 году стал одним из сооснователей monobank. Книгу написал Тимур Ворона, главный редактор MC.today. Заказать

Продолжение бестселлера от предпринимателя и блогера Евгения Черняка. Он расскажет истории семи успешных женщин: Леры Бородиной, Ольги Гуцал и других. Заказать.

Можно ли избежать ядерной войны? Какая цивилизация доминирует на планете? Как спастись от лжи в новостях? Узнайте ответы на эти вопросы в продолжении бестселлеров от Юваля Ноя Харари. Заказать.

Сейчас стриминговые сервисы побеждают кинотеатры – но 10 лет назад все было иначе. Основатель Netflix Марк Рендольф рассказал, как родилась идея компании и почему она понравилась инвесторам. Заказать.

Мемуары бывшей первой леди США – и первой афроамериканки в этой роли. Вместе с мужем Мишель Обама создала образ самой гостеприимной семьи президента. Заказать.

Вы совсем погрузились в карьеру и забыли про семью? Эта книга поможет вернуть доверие в ваш дом и понять, что успех зависит и от ваших близких. Заказать.

Владелец Zara Амансио Ортега признавали богатейшим человеком несколько раз. Узнайте, как устроен мир моды и почему на одежде можно хорошо заработать. Заказать.

Исполнители в тайне мечтают руководить другими. Но на этом пути их ждут ошибки, которые могут стоить карьеры. В книге вы получите советы, как ладить с руководителями и стать одним из них. Заказать.

Кажется, что создавать видеоигры весело и просто. Но вы разубедитесь, когда откроете книгу и прочитаете ее. Ведь каждая игра – это труд сотен людей. Заказать.

Многие мечтают просыпаться пораньше – но на деле валяются в кровати часами. Откажитесь от соблазна, и у вас появится пропуск в «элитный клуб» олимпийцев и предпринимателей. Заказать.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Вдохновляющие компании

«Бітрікс24»

Мы – №1 на украинском рынке CRM-систем. Как нам удалось построить команду, в которой комфортно работать.

«Битрикс24»
AMC Bridge

20 лет помогаем технологичному бизнесу разрабатывать инженерное программное обеспечение для строительства, производства и концептуального дизайна.

AMC Bridge

Выбор редактора

Спецпроект

Они помогают экономить на IT до 30 %: Microsoft выбрал партнера 2020 года в Украине

Spelling error report

The following text will be sent to our editors: