Дія-це якійсь суцільний п***а. На її прикладі можна побачити найпотужніші вади сучасного державного устрою України: красти, брехати, відсутність фаховості.

Как-то раз на 1 апреля добрые люди с Ebanoe.it уведомили  Міністерство цифрової трансформації України на официальный адрес security@ о том, что у них критическая дыра на сайте. Спустя двое суток им ответили... что по этим вопросам нужно обращаться к чат-боту. Вот только это не первоапрельская шутка.
https://ebanoe.it/2021/04/04/diia-city-fail/
Вкратце, что произошло:
На сайте dc.diia.gov.ua (случайно?!) выложили в открытый доступ пароли (токены доступа) к своим репозиториям исходного кода.
Ebanoe.it обнаружило, что помощью этих токенов можно было не только скачать исходники, но и отправить свой вредоносный код в репозиторий Дии.
В результате тысячи пользователей открывающие сайт .gov.ua получили бы заразу из "доверенного" источника.
Это называется Supply chain attack и последние громкие атаки реализованные подобным способом — NotPetya / M.E.Doc; British Airways; SolarWinds. Возможно вы слышали о них.
P.S. Отдельно доставил сайт на одну страницу с деплоем через Kubernets.

30.03.2021 — к нам на почту пришло анонимное письмо от неустановленного специалиста по кибербезопасности (итальянские хакеры?) или просто шарящего вебдевелопера. В теле письма речь ишла об уязвимости на этот самом промо-вебсайте с анонсом презентации. Редакция внимательно ознакомилась с предоставленными материалами и проверила, что описанная уязвимость действительно имеет место быть и реально критическая. Мы решили уведомить Министерство об находке, чтобы они залатали свою оплошность, прежде чем статья об этом будет опубликована на ресурсе ebanoe.it и общественность получит доступ к этой дыре госструктуры и хер его знает как могли бы это использовать в своих целях или еще глубже навредить госструктуре. Как-ни-как у нас с ними есть общая цель: это сделать украинское ИТ менее ебаным и более профессиональным.

По нашим данным эта дыра существовала как минимум с 21.03.2021 и хз какие спецслужбы каких стран на тот момент могли получить доступ к репозиториям на тот момент.
Ключевой момент в этой всей истории — никакого взлома не было, никто ничего не ломал. Люди просто ознакомились с тем что лежало в открытом доступе и на поверхности.

На текущий момент эта уязвимость уже закрыта, поэтому публикуем с чистой совестью.

В общем халатность и непрофессионализм команды работающей над «Дiя City» привела к тому, что на ресурсе dc.diia.gov.ua в открытую лежал git репозиторий лендинг промоушен-странички, а также креденшиалзы к доступу в другие репы проектов на их гитлабе.
Обнаружилось это просто потому что последний коммит был скраулен поисковыми роботами и засветился в поисковиках.

а дальше это позволило проверить «неужели они .git папку в свободном доступе держат?» — и таки да! это п***а #1

далее в папке конфига В ОТКРЫТУЮ красуются логин + пароль + auth = это п***а #2

не хочу даже тыкать носом в откровенное говно, что в 2021г кто-то еще использует ПАРОЛЬ в текстовой версии вместо токена..
+я на 99.99% уверен, что большинство вашей текущей команды — это вайтишники, СЛУЧАЙНО получившие должностя после окончания ссаных курсов. Ведь про такую же уязвимость мы публиковали материал еще в 2016году.

без проблем скачивается незащищенный .git-репозиторий — ну а хули, может это специальные дополнительные материалы к грядущей презентации мега-проекта от топовых специалистов формошлепов предоставленных Ассоциацией IT Ukraine.
содержимое репо:



скажите, зачем вам для этого простого лендинга использовать Kubernetes ??? Кто до такого додумался или кто эту дичь протолкнул в команде?

Вот вам, почитайте на досуге


остаточные файлы которые удалили, но их можно восстановить:



в общем дальше ПРЕДОСТАВЛЕННЫЕ креды с логином и паролем можно было бы использовать для отправки НОВЫХ КОММИТОВ, а также для вытаскивания всего остального что на гитлабе. Благо адрес гитлаба и нужный порт тоже лежали в открытую! Браво! ВОЗМОЖНО там где-то глубоко в аналлах таилась двух-факторная аутентификация, но мы не проверяли. Профессионалам уже б и найденной инфы хватило, чтобы защеку надавать всем вашим девопс ‘спецам’.

Хронология событий:
30.03.2021 — анонимное письмо с находкой приходит на info@ebanoe.it
31.03.2021 в 23:05 — мы сообщаем об уязвимости В ДЕТАЛЯХ на соответствующий секьюрити имейл security@diia.gov.ua и hello@thedigital.gov.ua (контактный имейл МинЦифры)
01.04.2021: — 11:00, спустя 12 часов никаких ответов или приветов, дыра всё еще не открыта
14:45 — мы уже даже на Facebook пытаемся достучаться до них, чтобы обратили внимание

17:00 — получаем ответ с hello@thedigital.gov.ua

Доброго дня!
Зверніться в службу підтримки Дія в чат бот або на електронну support@thedigital.gov.ua

ну охуеть ведь! им на блюдечке приносишь багхант и говоришь «ваши проекты утекают в сеть!», а они такие «обратитесь в службу технической поддержки!» это п***а #3 !
Дорогие мои, при поступлении информации что вашу систему ебут или могут выебать — любой ваш паршивый имейл-клерк просто ОБЯЗАН БИТЬ В КОЛОКОЛА И сообщать верхушке об этом, а не перекладывать усилия по коммуникации на того кто вам сообщает о вашем проебе. Это кому надо больше?
17:10 — форвардим письмо на support@thedigital.gov.ua, дыра все еще не прикрыта.
22:00 — спустя СУТКИ б***ь! получаем сухой ответ от security@diia.gov.ua

Дякуємо за інформацію.

но уязвимость по прежднему не устранена. Целые сутки понадобились команде Министерства Цифровой Трансформации, чтобы только обратить внимание на сообщение о проблеме. Это неудовлетворительны й уровень реакции на критическую киберугрозу. Вы тоже будете сутки ебланить, когда данные пользователей будут сливать в сеть????
02.04.2021 — по состоянию на 10:00 уязвимость была закрыта, .git папка скрыта. Работоспособность скомпрометированных паролей мы не проверяли, понадеялись на то что у их девопсов ума хватило пароли ревоукнуть.

вишенка на тортик в этой истории: девопс (который работает в МинЦифре и в чью зону ответственности входит поиск подобных уязвимостей на проектах/системах и мониторинг ящика security) у себя в Линкедыне показательно лайкает профильные материалы по кибербезопасности, чтобы все видели что он в мейнтстриме и следит за последними трендами. А по факту что? — типичный представитель «вайтишной» эры который логин и пароль хранил открыто в текстовм файле по урлу в проекте. Л — лицемерство.


Выводы:
Сутки на устранение критической уязвимости — это вообще не уровень команды, которая ратует за диджитализацию всей страны и прочее продвижения ИТ в массы. В МинЦифре сейчас около 20 одновременно запущенных проектов в разработке и еще 100 запланированных до конца 2021г. Эти проекты делают совершенно разные команды, как с именитых галер, так и ноунеймы, продвигаемые небезызвестным Тарасом Кицмеем (директор ИТ Ассоциации), который ни за что не несет ответственности когда под его руководством происходит слив паспортов его сотрудников. Нет никакого контроля или аудита за тем, что делают все эти люди получая зарплату из нашего крмана..
Я, как гражданин Украины, не хочу чтобы мои налоги ишли на оплату труда откровенных дармоедов, формошлепов и людей, не знакомых с понятием профессионализм. Сейчас на лицо открытый пример наплевательского отношения к кибербезопасности со стороны представителей МинЦифры. А ведь Михаил Федоров, «министр цифровой трансформации Украины», полтора года назад гнал на кибербезопасность в своем интервью изданию «Левый Берег».
https://лб/news/2019/11/29/443401_mihail_fedorov_ya_uveren_100.html

Давайте оттуда рассмотрим самый лольную цитату:


Михаил, по текущим событиям оно и видно, что в «новой команде» наплевательское отношение к кибербезопасности и клиентским (читай государственным) данным. Рыба гниет с головы? Весь ваш софт пишетcя за государственные деньги и с наших налогов, а Ваша команда вот так вот его код и данные безалаберно и в открытую сливает в интернет. С таким подходом как у Вас, я надеюсь, что всю вашу «новую команду» тоже уволят/разгонят за непрофессионализм и как профнепригодных.


Какую презентацию «Дія City» вы собрались делать 5го апреля? А ниче что ваши репозитории давно в открытом доступе валялись? Вы позора хотите или хайпа? Вам нужно проводить внешний аудит всех имеющихся проектов, приложений и систем, иначе грядет очередной IT-факап национального масштаба. И меньше идите на поводу у Ассоциации ИТ Украины, к их компетенции очень много вопросов, а репутация давно запятнана.
А пока можете Анонимуса вписать в security hall of fame.

Нічого дивного
Той міністр сео займався ( реклама по факту )
До іт не має прямого стосунку
Ну і зважаючи яку діч він казав про безпеку

Провокація ви самі розумієте кого.

Провокація ви самі розумієте кого.

Та ясно.....мальдівськ ий гадить 
Жідіталізація на марші )))) а я тільки ту дію хотіла поставити !! Фууух...пронесло..

Останнє редагування: 5 квітня 2021 10:09:51 від Бяка

Чесным гражданам скрывать нечего!!! Личных данных в нашем дорогом цифровом Зе-будущем нет и быть не можит!

Розгорнути попередні цитати...

Drake,  5 квітня 2021 09:02:55

Провокація ви самі розумієте кого.

Та ясно.....мальдівськ ий гадить 
Жідіталізація на марші )))) а я тільки ту дію хотіла поставити !! Фууух...пронесло..

ну так твої дані в тих реєстрах все рівно є, ставиш ти дію чи ні

Розгорнути попередні цитати...

Бяка,  5 квітня 2021 10:07:09

Drake,  5 квітня 2021 09:02:55

Провокація ви самі розумієте кого.

Та ясно.....мальдівськ ий гадить 
Жідіталізація на марші )))) а я тільки ту дію хотіла поставити !! Фууух...пронесло..

ну так твої дані в тих реєстрах все рівно є, ставиш ти дію чи ні

Взагалі, тут не вірний підхід до безпеки.

Хоча... Поясни як вони її влаштували...

Чесным гражданам скрывать нечего!!! Личных данных в нашем дорогом цифровом Зе-будущем нет и быть не можит!

я про це давно кажу, питання тільки ціни яку має спецслужба заплатити щоб ці данні отримати. Світ давно прозорий.

Доречі відповідь на це буде падіння моралі.

Провокація ви самі розумієте кого.

Ну разве что от самой Дии и  ее кукловодов
Ну что бы потом, как вскроется что там ща происходило, можно было сослаться на эту историю с обнаружением багов...

вот вам вся правда про укропрагармистов: не могут даже элементарной проги сделать. 

вот вам вся правда про укропрагармистов: не могут даже элементарной проги сделать. 

Я давно говорил, что всё "государственное" АйТи сборище распильщиков и долбоебов.

всё "государственное" АйТи сборище распильщиков и долбоебов.

Хто тоді ті хто користується продуктом який створили ті самі "всё "государственное" АйТи сборище распильщиков и долбоебов"? Просто довєрчівьіє гражданє?

Нда, пічально,  тримати в індексі гіт-папку. Там нікого нема,  щоб на це вказав? То ж елементарно

Любит зе нанимать профнепригодных грузков

А чи не навмисне це все?

Шо там з електронними паспортами? Встигли злити? 

щодо повільності відповідальної установи при обробки сигналу про порушення, - можна пару слів моїх ознайомитесь: я пишу з весни минулого року про шалений пусек у складі МЗС РФ, які вчиняють впливом на свідомість кримінальні дії у зовнішній політиці РФ. Там були також вказівки, як знайти тих пусек конкретно. Реакції на мої повідомлення з боку форуму поки також не так щоб є. Пару місяців назад я надала тут додаткової інформації. Ситуація також майже або зовсім без реакції. Походу роботи щодо ідентифікації пусек набагато менше, ну година часу треба.

То я знаю, що на всіх вас йдуть атаки на свідомість, тому і реакції відповідні.

Очевидно названа в СП установа також знаходиться під атакою на свідомість співробітників. Тому сталася ситуація з паролями і токами у відкритому ...сік! ...

Друга гипотеза: крім атак на свідомість з боку МЗС РФ, у склад тих відділів, які відповідють за порушення, навмисно було заведено в штаб співробітників агента якихось іноземних країн. Напевно РФ стоятиме за тим, це їх почерк і вірогідність буде, що це вони.

Приватні дані потрібні для атак на свідомість людини і на вплив на поведінку на відстані.

Наступне питання, чи отримують злочинці доступ до кореспондеції між іншіми державними установами, а також просто кореспонденції установ за допомогою тих паролей. Та кореспонденція містить державну таємницю. Це можливо навмисна акція була для отримання цих даних. Це вкрай небезпечно. Я матюкатися не звикла. Ото небезпечно вже і є серйозно. Відомості щодо провадження проти якоїсь мафії у відкритому доступі, як іноземні злочинці отримають ту інформацію, то можуть передати тим, проти кого провадження. Коротше волосся тоді догори. Питання, чи мала така можливість в софті місце.

Останнє редагування: 5 квітня 2021 13:26:12 від Meridian

все написане в стартпості складає злочин державна зрада. Або як немає навмисності, можливо іншій склад.

Питання, хто це буде з"ясовувати, чи встані прокуратура це зробити, чи на дачі відпочиває, не заважайте...

Розгорнути попередні цитати...

Бяка,  5 квітня 2021 10:07:09

Drake,  5 квітня 2021 09:02:55

Провокація ви самі розумієте кого.

Та ясно.....мальдівськ ий гадить 
Жідіталізація на марші )))) а я тільки ту дію хотіла поставити !! Фууух...пронесло..

ну так твої дані в тих реєстрах все рівно є, ставиш ти дію чи ні

тут как с ковидом паника и невежество

то має будь-ласка ваша організація передати інформацію з якимось копіями кореспонденції з вказаним Міністерством до прокуратури. Тут всі ті деталі напевно через конфеденційність запостити неможливо буде - я не знаю. Взагалі питання, як довести скандал до очей судді - прокуратура, справа, суд - ото останнї в мене як далека недостяжна блакитна мрія в актуальній реальності.

Жідіталізація на марші ))))

 

Люкстенебріс не бажає допомогти своїм фахом улюбленій зеленій владі, тільки скріншоти оферів ((((

Розгорнути попередні цитати...

flexandr,  5 квітня 2021 11:07:40

всё "государственное" АйТи сборище распильщиков и долбоебов.

Хто тоді ті хто користується продуктом який створили ті самі "всё "государственное" АйТи сборище распильщиков и долбоебов"? Просто довєрчівьіє гражданє?

Не обольщайся, это правило работает со времен Кравчука и будет работать еще достаточно долго. 

Останнє редагування: 5 квітня 2021 19:55:21 від flexandr

Порошенко вчергове насрав в штани зеленим жижиталізаторам
https://ibigdan.livejournal.com/27036791.html

Порошенко вчергове насрав в штани зеленим жижиталізаторам
https://ibigdan.livejournal.com/27036791.html

а вот кроме этой самой потерпевшей Людмилы были случаи использования Дии для мошенничества?
уже 3 месяца слышу про Людмилу, но если система такая дырявая почему ничего ни нового ни старого нет
только Людмила...

Порошенко вчергове насрав в штани зеленим жижиталізаторам
https://ibigdan.livejournal.com/27036791.html

судячи з опису, вразливість не в цифровій частині
Вразливість, як в 90% інших випадків, у людях
Закривається обов'язком банків проводити авторизацію клієнта в перший раз виключно офлайн
До речі, то же моно цю авторизацію проводив на початку - коли видавав картку у пункті видачі, вимагався паспорт

Розгорнути попередні цитати...

N88,  1 серпня 2021 20:35:47

Порошенко вчергове насрав в штани зеленим жижиталізаторам
https://ibigdan.livejournal.com/27036791.html

а вот кроме этой самой потерпевшей Людмилы были случаи использования Дии для мошенничества?
уже 3 месяца слышу про Людмилу, но если система такая дырявая почему ничего ни нового ни старого нет
только Людмила...

в статье скромно умолчали про то, что виновника нашли. Это был сотрудник МФО, провернувший махинацию с авторизацией клиента. Никакой "авторизации через Дию" по факту не было

эта та людмила на чьё имя был микрокредит на 3000 грн? Поднявший ветку - явный дебил.