Хактивисты из группы “Украинский Киберальянс” и волонтеры в течение месяца проверяют на уязвимости веб-ресурсы госорганов. Раньше специалисты уведомляли пострадавших о проблемах не публично. Теперь в рамках акции #FuckResponsibleDisclosure о каждой дыре в информационной безопасности госструктуры говорят в открытую. 

“Реальное положение вещей нас просто шокировало. Наиболее распространенной ошибкой оказались не слабые пароли или антивирусная защита — их мы не проверяли — а то, что важная информация лежит онлайн на FTP или общем сетевом диске без пароля. И тогда мы поняли, что единственный способ что-то изменить заключается в том, чтобы публично пристыдить государственные организации и показать их халатность во всей красе”, – объяснил действия хактивистов на ресурсе “Петр и Мазепа” представитель “Кибеальянса” Шон Таунсенд.

За время проверок специалистам обнаружили, что у Херсонского облсовета для доступа из интернета открыт общий диск с правами на запись без пароля. На сервере организации нашли следы взлома полугодичной давности. Многие госорганы не брезгуют оставлять открытый доступ из внешней сети к FTP и общим папкам. Так поступили в Национальной академии внутренних дел, где оказались доступны пароли от сайта и список офицеров. Та же ситуация с доступом к серверу Белоцерковского отдела Нацполиции. В открытом доступе оказался и общий диск киевской областной полиции с личными данным сотрудников, внутренними распоряжениями и списками паролей от официальных аккаунтов (один из них mvd123).

Хактивисты также получили доступ к ресурсам пенсионного фонда в Никополе, областного коммунального предприятий “Днепр-Кировоград”, НАЗК, научно-исследовательский экспертно-криминалистический центр МВД и множеству других организаций.

“Не нужно ничего ломать — заходи и бери. Все заботливо разложено по папочкам и приготовлено на вынос. В нескольких случаях нам удалось обнаружить следы взлома настоящими хакерами”, – пишет Таунсенд. 

Многие госорганы после обнародования уязвимости не реагировали на нее или отрицали. Так в НАЗК официально заявили, что “компрометация веб-ресурсов совершается абсолютно искусственно, а манипуляции такого типа используются оппонентами антикоррупционнных реформ”. Тем не менее, как сообщают хактивисты, после этого доступ к документам был закрыт.

Некоторые организации реагируют на уведомления о проблемах с безопасностью. Так Черниговская ОГА закрыла доступ к общим дискам. Но после этого активисты обнаружили на ресурсе госоргана еще ряд уязвимостей. 

Напомним, на прошлой неделе российские хакеры опубликовали данные персональные данные участников АТО. В Киберполиции уже обнаружили компьютер, через который произошла утечка.