С сайта с госвакансиями можно было скачать паспорт любого кандидата на работу. Детали утечки

Career.gov.ua – правительственный сайт, на котором госструктуры размещают актуальные вакансии. Там в электронном виде можно подать документы, чтобы принять участие  в конкурсе на должность. Оказалось, данные пользователей не были защищены. Что произошло и чем это грозит, разбиралась редакция MC.today. 

Что случилось?

Те, кто хотел работать в госорганах, вместе с заявлением на сайте отправляли свои документы: копию паспорта, идентификационный код, резюме, дипломы и так далее.  Из-за технической уязвимости портала многие личные данные оказались в свободном доступе.

Первым об этом написал написал Андрей Перевезий, бывший директор по информационным технологиям компании Ukrainian Retail Association. 

«Для того, что бы устроиться на работу в государственную структуру, необходимо заполнить анкету, резюме и загрузить свои документы на ресурс https://career.gov.ua. Так вот, загружая документы, помните, что хранятся они в открытом доступе, вот так случайно произошло, и не удивляйтесь, если на ваше имя случайно возьмут кредит», – написал он.

Неполную инструкцию, как получить доступ к персональным данным людей, оставил на своей странице в Facebook представитель Украинского киберальянса Шон Таунсенд. На деле, это оказалось достаточно просто и не требовало никаких особенных технических знаний. Меняя номер ID в URL-адресе от 000001 до 116317, можно было посмотреть и скачать копии документов разных пользователей сайта. По предварительным оценкам, пострадать могли больше, чем 50 тыс. человек.

Главную страницу сайта на некоторое время заблокировали, но примерно до 10:00 16 января некоторые пользователи все еще могли посмотреть данные с помощью URL-адреса. 

О том, что проблема решена, а сайт временно не будет работать, сообщила Наталья Зинченко, представительница Национального агентства по вопросам государственной службы (НАДС). В заявлении на официальном сайте агентства говорится о «сбое системы администрирования». Также есть рекомендации для тех, кто отправлял свои данные. 

Мы запросили более подробный комментарий у Натальи о том, как подобное могло произойти и кто понесет ответственность.

На ситуацию отреагировал и Омбудсмен: он пообещал провести проверку Нацагентства по вопросам государственной службы. Шон Таунсенд, который распространил информацию об утечке, посоветовал ему в комментариях под постом также починить и свой сайт. 

Чем это грозит?

Копии документов можно было использовать для мошенничества: чтобы взять на имя человека кредит, зарегистрировать его где-нибудь и так далее.

Подобные посты в соцсетях могли навредить даже больше, чем сама уязвимость сайта, считает Сергей Городецкий. В комментариях под постом он спросил, слышал ли автор о термине responsible disclosure – ответственное разглашение. Это означает, что перед тем, как сообщить об ошибке или дыре в безопасности в соцсетях, нужно рассказать об этом владельцу программного обеспечения или ресурса. 

«Я не оправдываю владельцев ресурса, но считаю, что публикация об уязвимости должна быть отложена, если владелец ресурса идёт на контакт и принимает меры по устранению, пусть даже не совсем правильные», – пишет он.

В ответ Шон Таунсенд сказал, что он с коллегами уже пытался объяснить разным органам суть и масштаб проблемы, но у них не вышло. Поэтому пришлось прибегнуть к таким радикальным действиям. В этом он видит проблему – власти не реагируют на обнаруженные уязвимости, пока не сделаешь их публичными. 

Сложно сказать, что будет, если подобным образом начнут обличать другие уязвимости в государственных сервисах.