Программист назвал оплошностью разработчиков возможную утечку кода Госуслуг

Цитата из мф Следствие ведут Колобки. реж. Александр Татарский, Игорь Ковалёв. 1986. СССР
Цитата из мф Следствие ведут Колобки. реж. Александр Татарский, Игорь Ковалёв. 1986. СССР

Возможная утечка исходного кода Госуслуг является типичной оплошностью разработчиков программного кода, рассказал разработчик программного обеспечения, руководитель саратовского подразделения «Базальт СПО» Евгений Синельников 27 декабря в комментарии для ИА Красная Весна.

«Утечка исходного кода [портала „Госуслуги"] вероятно все-таки произошла», — заявил программист. По его словам, об этой утечке написано в соответствующих статьях с подробным описанием того, как это могло быть сделано, какие инструменты для этого были использованы. «И скорее всего так и было сделано», — объяснил Синельников.

« Это оплошность разработчиков, на которую и ссылаются явно те, кто искал уязвимости», — добавил эксперт. Он рассказал про инструмент системы контроля версий (Git), через который вероятно и удалась утечка кода портала «Госуслуги».

По мнению специалиста, Git вполне удобный инструмент для коллективной разработки программ. Но для того, чтобы программисты получали на рабочих машинах возможность публикации разработок, требуются разного рода настройки на серверах, позволяющие не давать доступа извне к данным системам.

«С таким же успехом можно, вообще, весь сервер наружу вытащить. Это же просто инструмент — web-сервер. Можно с помощью него и системные настройки выложить. Система контроля версий так устроена, что она хранится в том же каталоге, что и весь проект. Если этот каталог не защищен, то он оказывается доступен», — подробно объяснил Синельников.

Проблема вероятной утечки с портала «Госуслуги» является более-менее характерной в среде разработки программного кода, добавил эксперт.

«Неправильно настроили web-сервер, который позволял получить доступ к данным системы контроля версий. Взломом это назвать сложно, скорее явная утечка, которая осуществлена по оплошности самих разработчиков», — отметил программист.

Синельников оценил возможные негативные последствия для пользователей портала. «Вопрос главный в том, что указано, что в исходном коде хранились сертификаты и токены, то есть коды доступа к внешним службам, которые относятся к порталу», — отметил программист.

В описании утечки были указаны отсылки на приватные данные в социальных сетях, через которые происходил доступ портала к внешним службам, рассказал эксперт.

«Получается, что через эти аккаунты теперь можно получить доступ и злоумышленнику, если он получил сертификаты и ключи доступа. Вообще говоря, это довольно типичная ошибка, которую может сделать каждый», — подвел итог специалист.

Напомним, 25 декабря в СМИ появились сообщения о возможной утечке программного кода портала «Госуслуги». 27 декабря Министерство цифрового развития, связи и массовых коммуникаций России опровергло информацию об утечке кода из инфраструктуры электронного правительства.