ЦИК «наехала» на хакеров, которые нашли уязвимости на её сайте

Спустя сутки после того, как в рамках акции #FuckResponsibleDisclosure спикер Украинского киберальянса, известный под ником Шон Таусенд, сообщил об XSS-уязвимости на сайте Государственного реестра избирателей, в Центризбиркоме разразились гневной тирадой о...

Спустя сутки после того, как в рамках акции #FuckResponsibleDisclosure спикер Украинского киберальянса, известный под ником Шон Таусенд, сообщил об XSS-уязвимости на сайте Государственного реестра избирателей, в Центризбиркоме разразились гневной тирадой о недостоверной информации. И вновь напоролись на критику от специалистов по кибербезопасности.

Об этом пишет InternetUA.

Напомним, как ранее уже сообщал наш портал, на сайте Государственного реестра избирателей ЦИК Украины была обнаружена XSS-уязвимость – тип уязвимости программного обеспечения, который позволяет атакующему внедрить клиентский сценарий в web-страницы, просматриваемые другими пользователями. По словам спикера УКА, даже обнаруженной уязвимости достаточно, чтобы «убедительно нарисовать любое дурацкое заявление» на сайте и, хотя через веб-сайт реестра избирателей невозможно попасть в сам реестр, это показывает отношение к информационной безопасности в ЦИК.

В ответ на обнаруженную уязвимость ЦИК издала заявление, в котором назвала Украинский киберальянс «малоизвестной организацией, которая пытается ассоциировать себя с кибербезопасностью», а само заявление – «неуклюжей попыткой обвинить специалистов ГРИ в некомпетентности и поставить под сомнение надлежащий уровень защищенности сайта Реестра».

– Никакого несанкционированного проникновения в информационные ресурсы Центральной избирательной комиссии не произошло. Все информационные системы работают в штатном режиме. А очередная попытка приклеить уже ни в кого не вызывающий доверия ярлык «зрада» к работе Комиссии и Государственного реестра избирателей превратилась в тривиальную самодискредитацию некомпетентного автора, – заявили в ЦИК.

Как уточнил в комментариях руководитель Службы распорядителя Государственного реестра избирателей Александр Стельмах, потенциальную уязвимость исправили в течение 10 минут после обнаружения. По его словам, уязвимость позволяла запустить скрипт только на клиенте, и не является чувствительной для сайта.

Заявление Центральной избирательной комиссии и комментарии Александра Стельмаха вызвали новую волну критики в адрес чиновников от украинских ИБ-специалистов:

– Запуск скрипта на клиенте – это тоже угроза. Это потенциальная возможность украсть куки. Кроме того, это признак того, что авторы вашего сайта не используют общеизвестные движки (где защита от XSS встроенный) и не имеют нормального организованного аудита своей работы (XSS обнаружил бы даже Junior, а, значит, не смотрел и сейчас). В системе есть и фундаментальные баги, – считает Владимир Корнийчук.

– ЦВК, вы правда такие идиоты, какими хотите казаться, или это у вас тактика такая? Специалисты в области кибербезопасности нашли у вас серьезную проблему и честно предупредили о ней. В ответ вы устроили позорную пляску с оскорблениями и повели себя как последние му**ки. На этом вам надо остановиться и начать сотрудничать со специалистами. Если не хотите потом в тюрьму сесть, когда чужие хакеры, а не свои, утащат у вас базу избирателей (не сомневаюсь, что они это уже сделали, просто еще никто это не расследовал) и сфальсифицируют результаты выборов. На данный момент вы просто очень глупые му**ки. Ждем иных новостей про вас, – пишет Иван Лапченко.

Кроме того, у специалистов возникли вопросы к авторизации пользователя на портале и «работе» несуществующего уже почтовика ЦИК.

internetua.com

Материалы по теме:

  • Не прошло и три года, как новый ЦИК почти готов

    Вчера, 20 сентября, Верховная Рада Украины назначила 14 новых членов Центральной избирательной комиссии. Еще летом вопрос выбора новых членов ЦИК чуть было не парализовал украинский парламент. Однако и теперь окончательно сформированным Центризбирком...
  • Найден способ уничтожить биткоин

    Эксперты в области кибербезопасности сообщили об уязвимости в криптовалютной системе биткоина, которая могла бы уничтожить всю сеть целиком. Как сообщает издание Motherboard, такая атака обошлась бы злоумышленникам в 80...
  • Депутаты по-крупному задолжали украинцам

    Впервые после полуторамесячных каникул на этой неделе народные депутаты соберутся в сессионном зале парламента. В преддверии события FaceNews расспросил экспертов о заданиях, которые стоят перед нашими политиками. Выборы на...
  • Хакеры добрались до медоборудования

    Взломщики могут получить права администратора на медицинском устройстве «Дыра» в шлюзе Qualcomm Life Capsule Datacaptor Terminal Server (DTS) может быть легко проэксплуатирована злоумышленниками, позволяя выполнить произвольный код для получения...