Украинские хактивисты месяц проверяют безопасность госсайтов. Часто ее вовсе нет

Хактивисты из группы «Украинский Киберальянс» и волонтеры в течение месяца проверяют на уязвимости веб-ресурсы госорганов. Раньше специалисты уведомляли пострадавших о проблемах не публично. Теперь в рамках акции #FuckResponsibleDisclosure о каждой дыре в информационной безопасности госструктуры говорят в открытую. 

«Реальное положение вещей нас просто шокировало. Наиболее распространенной ошибкой оказались не слабые пароли или антивирусная защита — их мы не проверяли — а то, что важная информация лежит онлайн на FTP или общем сетевом диске без пароля. И тогда мы поняли, что единственный способ что-то изменить заключается в том, чтобы публично пристыдить государственные организации и показать их халатность во всей красе», — объяснил действия хактивистов на ресурсе «Петр и Мазепа» представитель «Кибеальянса» Шон Таунсенд.

За время проверок специалистам обнаружили, что у Херсонского облсовета для доступа из интернета открыт общий диск с правами на запись без пароля. На сервере организации нашли следы взлома полугодичной давности. Многие госорганы не брезгуют оставлять открытый доступ из внешней сети к FTP и общим папкам. Так поступили в Национальной академии внутренних дел, где оказались доступны пароли от сайта и список офицеров. Та же ситуация с доступом к серверу Белоцерковского отдела Нацполиции. В открытом доступе оказался и общий диск киевской областной полиции с личными данным сотрудников, внутренними распоряжениями и списками паролей от официальных аккаунтов (один из них mvd123).

Хактивисты также получили доступ к ресурсам пенсионного фонда в Никополе, областного коммунального предприятий «Днепр-Кировоград», НАЗК, научно-исследовательский экспертно-криминалистический центр МВД и множеству других организаций.

«Не нужно ничего ломать — заходи и бери. Все заботливо разложено по папочкам и приготовлено на вынос. В нескольких случаях нам удалось обнаружить следы взлома настоящими хакерами», — пишет Таунсенд. 

Многие госорганы после обнародования уязвимости не реагировали на нее или отрицали. Так в НАЗК официально заявили, что «компрометация веб-ресурсов совершается абсолютно искусственно, а манипуляции такого типа используются оппонентами антикоррупционнных реформ». Тем не менее, как сообщают хактивисты, после этого доступ к документам был закрыт.

Некоторые организации реагируют на уведомления о проблемах с безопасностью. Так Черниговская ОГА закрыла доступ к общим дискам. Но после этого активисты обнаружили на ресурсе госоргана еще ряд уязвимостей. 

Напомним, на прошлой неделе российские хакеры опубликовали данные персональные данные участников АТО. В Киберполиции уже обнаружили компьютер, через который произошла утечка.