Пацаны забили хуй на директории .git и все их коммиты и соурс код успешно спиздили. Их предупредили, но они снова забили хуй, в итоге сорцы лежат где то в даркнетах
По итогу выяснилось что госуслуги это допиленный битрикс. а ЕСИА - opeinid
>>260313651 (OP) Ну слили и слили что будет то, опиши в вкратце, я дуб в этой теме, но интересно какие последствия и будет ли подляночка для просто пользователя?
>>260313651 (OP) ды хуйня, это ебучие московские госуслуги, а не федеральные, там рили долбоебы работают. т.е. есть федеральные госуслуги - это, собственно, gosuslugi.ru, которые пилит РТЛабс, а есть всякое говно региональное которое с федеральными интегрируется и пилится на битриксе (скажу по секрету госуслуги делаются на java - spring, а то что ЕСИА это openId это прям в документации к ней указано). Та же ЕСИА просто заблочит их систему и все ее серты за секунду перестанут работать. Ну зато заголовок громкий.
>>260314003 ну-ну, и например каких данны-то, иксперт? серт есиа только подтверждает что ты от имени определенной информационной системы обращаешься, помимо этого нихуя наличие серта не дает.
>>260313651 (OP) Объясните маминой радости, что значит "исходный код"? Разве это не означает того, что спиздили именно "чертежи" сайта, а не сам сайт со всеми аккаунтами и прочими приблудами? Или у госпрограммистов там был файл с названием "LOGINI I PAROLI NE LEZ"?
>>260314618 >что значит "исходный код" Там на поддомене был доступен целиком репозиторий с исходниками к чему-то, можешь скачать орхив и посмотреть что там.
>>260313846 Им похуй. Когда ржд через сапсановый вифи ломанули, там руководство на серьёзных щщах прокукарекало что всё пиздёжь и они защищеннее подземного бункера.
в общем это хуйня для желтого заголовка, а не какой-то взлом или слив. единственную опасность представляют авторизационные токены, но они и как пароли тоже не могут находиться в исходном коде, плюс у них ограничено время жизни, гуглите протокол oauth. вот недавно реальная была жопа, и не только на госуслугах, когда вскрылась уязвимость в log4j. гораздо опаснее чем эти ваши сливы.
>>260314911 Надо просто выебать под хвост того, кто запилил проверку на хост, и отправить его собирать хворост. Обеспечить ему, так сказать, отрицательный карьерный рост. И следить, что бы он соблюдал пост.
>>260313651 (OP) кароч почитал я ваш тредик. в чем ВСЕ то? в треде сами хуй понимают что это означает по факту. спиздить пароли могут нет, не могут. какие нахуй пароли. какие базы данных блять? почему все то блять? впизду кароч.
>>260315257 ты не прав, даже dev стенды уже все на кубере/хельмах. а на проде там вообще пиздец какая инфраструктура с эктив-эктив репликациями и мультицодовой обработкой данных. ты недооцениваешь количество бабла вливаемого в цифровой гулаг.
>>260315358 >ты недооцениваешь количество бабла вливаемого в цифровой гулаг Бабло можно тоже тратить плохо, вчера тред был про кабана, котороый по гос. котнракту нанял новичковых работяг за 300-600 баксов, по итогу соснул чёт.
>>260315238 А типо не надо, пускай любой петух крадет пароль (хотя бы уникальный, хер с ним) и заходит? Сейчас там 2фа по смс от которого уже отказались буквально все т.к. смс пиздят тоже
>>260315248 Кто с ЕСИА работал тот знает. Остальные просто начали кукарекать что используют не аналоговнет а вполне обычные открытые протоколы. Почти весь гос пилится на опенсорсе.
>>260315326 Потому что я видел в 2013, как сервис деплоили вместе с репозиторием через заливку ZIP-архива. У меня нет точных доказательств того, что на пензенских госуслугах делали не так же.
>>260313651 (OP) Открою секрет даунам - госуслуги не сайт из 90ых который крутится на васянском компе по статичному айпишнику. В статье на хабре одна вода и невнятные кукареки про сертификаты.
>>260315408 Ну тип, если таскать исходниками, то необходимо пару раз присесть, настроить, чтобы доступа не было к нужным вещам, сбилдить всю парашу на этом серваке, если это не проблема, то почему нет? Но лучше настроить какой-нибудь пакетный менеджер/использовать линукс контейнеры. >>260315464 Что ты несёшь, солевой наркоман?
>>260313651 (OP) Охуенно блядь, охуенно. А у меня там все доки были привязаны. Ну что, жду пока мой паспорт засветится в ОАО "Кредитование в обмен на почку". В пиндостане их бы уже судебными исками закидали, а у нас ничего, потерпим.
>>260315383 Это только при очень большем желании они там могут быть, но учитывая какие кривые мартышки в гос органах работают и на битриксе хуйню клепают, то они с таким заморачиваться бы не стали, а по дефолту никаких паролей в базе данных нет.
>>260313846 начальник СБ скорее всего сынок/зятек какого-нибудь замминистра и ему похуй на всю эту мышиную возню, он уже неделю кокс в Нью-Йорке нюхает.
>>260313651 (OP) Блядь, и смех и слёзы. Такое чувство, как будто там всю эту систему пилили по армейскому методу - главное перед старшим отчитаться и гори оно всё синим пламенем, нас уже через час после зарплаты здесь не будет.
>>260315945 Ты можешь в девтулзы зайти и точно так же скачать сорсы, все будет в менее удобном виде, но если бы хотелось раскрутить и там было бы что-то угрожающее безопасности, уже бы спиздили. Тут же те же самые сорсы, без какой либо хуйни. Бэк не спиздили даже.
>>260315945 ебло утиное, ты хоть бы тред почитал. на таких как вы дурачков и ориентирована желтуха, нихуя нет критического анализа, верят всему что им пихают в их тупую башку. Кстати ты выиграл 4000$ долларов, только за конвертацию надо 300 рублей заплатить на киви 14885051, как скинешь сразу тебе придут по курсу цб рф.
>>260313846 Не тот анусай измеряешь. У безопасников анусаи бумажками прикрыты. А вот кого там точно набутылят или премии лишат - погроммисты или гейопсы. Но им не привыкать.
>>260316034 И да, госуслуги это только портал, вся инфа которую ты дергаешь из госуслуг уходит/приходит по защищенному каналу с систем различных министерств.
>>260316151 Вопрос без троллинга. Что мешает программистам в госконторе сговориться и сказать начальничку, который компьютером пользуется только для того, чтобы купить билеты на самолёт в Лондон, что "из-за торсионного сдвига на нуль-фазовом сервере провайдера (это значит, что не в нашей конторе, Кабан Кабаныч!) произошла утечка данных по протоколу FUT4-NAR1, мы работаем над урегулированием ситуации"?
>>260316237 Ябут ойти и не только во все отверстия по стандартам ИБ. Ну и бумажки пишут, которыми свои же жепы прикрывают. Зато эти самые бумажки неглядя подписывают ойти пидоры, которых в итоге и бутылят после инцидентов, ну а безопаснички довольно урчат, пьют водовку под селёдочку, да приговаривают "мы же вам говорили".
>>260313651 (OP) Какое государство, такие и услуги, такие и это самое. И вот этот фактор кстати.
Вот этот фактор блеять >>260316348 Это возможно. Есть одна беда. Потом придут федералы, и весь отдел разработки, поедет к другим спецам по разработке. Отдел шваберного пентестирования, при очередной Красноярской ИК.
>>260316312 Ну вот представь что их сайт это жигуль, так вот, спиздили чертежи жигуля, а имея их можно узнать как вскрыть жигуль и спиздить оттуда паспорт простого русского Александра. Я так понял, анальники, поправьте.
>>260316528 Ещё раз повторяю для идиота. Как так получилось что ты с аноном примерно в двухчасовом промежутке в разных тредах запостил одну и ту же пичку тунца?
>>260316465 Смысл не в том, чтобы потом жопу лапой от вышестоящих инстанций прикрывать. Смысл в том, чтобы всем отделом наплести кабанчику о том, дескать, виноваты не мы, виноваты %любые_пидорасы_нейм_которыми_можно_прикрыться_без_последствий%. Вон, старший программист Сычёв который со всем отделом в рейды в ВоВ ходит, всё подтвердит, мы не виноваты. И волки сыты, и овцы целы.
>>260316645 Сука ты ебаная. Нахуй ты постишь этих тунцов? Это тебе не поможет. Я знаю что по методичке тесака ты питался, и в том треде лахтой тоже ты притворялся.
>>260314003 Данные уже спиздили, а потом серты слили чтбы даунята побежали смотреть и заспамили логискрыв реальных злоумышленников. Надо быть дауном чтобы не воспользоваться этим.
>>260316348 >Что мешает программистам Ну как минимум логи, которые прилетают к нам через syslog в нашу уютную SIEM систему и хранятся там года два. По этим самым логам мы видим каждый пук в системах если что.
>>260316518 Вот смотри, вбросили про слив исходного кода, изнасилованный журнашлю в СМИ напишет про взлом госуслуг, полетит говно на вентилятор и каждаябабкабудет об этом знать и подскачут скам кабанчики с фишинговыми рассылками "ваш аккаунт в госуслугах скомпроментирован, перейдите для смены пароля на говноуслуги.ua". Вот есши так будет то это уже пиздец.
>>260316687 Я одного тунца запостил, что привлекло внимание на харде, то и прикрепил. Где там тебя тунцы выебали, что у тебя посттравматический шок, я не знаю, извиняй.
>>260316824 нихуя ты злой. приходит человечек, которому 10к заплатили за аккредитацию места, он не настраивает, а я виноват. Я то как раз забочусь о таких, как ты, потому что на меня всё и скидывается.
>>260316899 Каких "как я", идиот? Ты привёл пример какого-то эникей-гноя, который у вас, сам же признаешься, числится чисто потому, что у него профа профильная. Раз у вас такое "ИБ", то у вас и остальное ИТ для галочки. Так что не меньшему ИТ-гною эникейному я и отвечаю.
Но ты свои маняфантазии пишешь человеку, который в SOC'e на третьем уровне Incident Response тимы сидит. А SOC наш укомплектован от бумажных даунов, до аппсеков и мамкиных пенетрейстеров. У нас, блядь, сеть по всей РФ распределена. И работаем мы 24/7 Ты понимаешь, что ты под себя серишь, сисьадмин хуев?
Ахаха, безграмотная школота открывает для себя IT.
Мань, во-первых OpenID -- это стандарт, у него много реализаций.
Во-вторых, там OAuth OpenID Connect, а не просто OpenID -- это разные вещи дохуя.
В-третьих, как по-твоему сделать Identity Provider БЕЗ OAuth? Абсолютно вся авторизация через абсолютно любой провайдер: что гугл, что эпл, что через вк, что через фейсбук, что через что угодно другое будет работать на OAuth просто потому что это стандарт.
самый смех что мои пароли их система забраковала, типа нужны ещеПАЛОЧКИ, ШТРИШКИ, ЗНАКИ ПРОЦЕНТОВ И ПРОЧ ХУЙНИ БЛЯДЬ в итоге кажд вход я меняю пароль тк не помню тк взял ИХНИЙ шизовариант для кгб даунов
а тут выясняется что вся их залупа это просто ВЕРИТЬ ЭТОГО ВПЛОНЕ ДОСТАТОЧНО ХАХАХХАХАХХХАХАХ БЛЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯАААААААААААААААААААААААА
>>260316511 Не, хуета. Надо было закрутить гайку, взяли гаечный ключ вместо того чтобы проектировать и выплавлять инструмент с нуля тоже. Пердиксы небось думают что весь софт с абсолютного нуля на двоичном коде пишут всегда.
>>260317243 >когда я уже выиграю гринку блядь, 8 лет прошло Представим что ты выиграл гринку, а дальше что? Какие твои действия. Ты там никому не нужен.
И хули вам не похуй, когда до вас дойдёт, что пользоваться этим говном небезопасно и рано или поздно будет очередной слив и все ваши документы спиздят и переспиздят. Хули вы такие блять блаженные сука? Биометрию уже сдали, скорее бегите сдавайте, чтобы её поскорее спиздили и присвоили ваши личности и ебали вас до конца дней буквально.
>>260317193 Мань, ты знаешь что государственные структуры ебали в анус мировые стандарты, и на разработку собственных им выделяется хуева туча денег. Вон тебе эльбрусы и телефоны для вояк сделали, чтобы американцы ничего не пиздили.
>>260313651 (OP) Надеюсь того кто соощил о проблеме затаскают по запросам, а потом на него повесят взлом и набутылят. В следующий раз будет уроком если выдет. Нужно быть совершенно наглухо отбитым долбоёбом, чтобы пентестить правительственные сайты в пидорашке, а потом ещё и сообщить об этом в надежде на подачку. Теперь его швабрами пентестить будут. И поделом дурачку.
>>260317171 вы чё делаете кроме того, что в жопе ковыряетесь? Нас 2 раза в год ломают, вообще всё, из-за таких, как ты. Вас к хуям надо выгнать, тебя лично, пидарас. Если вообще завтра ты сдохнешь в луже крови вместе со всеми своими обоссанными чмоколлегами менеджерами, то никто никогда не заметит вообще ничего.
В нашей ебаной эрэфии нет информационной безопасности и не было. Надо кадры прорядить, хорошенько так, тогда МОЖЕТ быть что-то и изменится.
Анон, а это нормально вообще, что сервера с данными о ЭЛЕКТРОННОЙ подписи, квартирах, всей информации о человеке, и возможность через эти сервера сделать что угодно, вплоть до доверенности на что угодно, что эти сервера настолько дырявые, что пиздец? Это тоже самое что банк без охраны и с дырявыми стенами.
>>260317171 ты спитые инфантильные глаза наверх подними, где ты отписываешься, госуслуги ломанули. опять или снова? Кто виноват? Исидор эникейщик? Ты и виноват всё по достоевскому.
>>260313651 (OP) Чет вспомнил, как я в далеком 2002 году, будучи 9-ти классником, просто по приколу дефейсили с друганом всё, что под руку попадётся. Ну и короче так получилось, что чисто случайно получили через веб доступ к базе какой-то крупной страховой компании лол. Тупо раскручивали мускуль запросами и там вообще никаких защит и фиксов даже базовых не было лол.
Абсолютно все данные как на ладони. Прошло почти 20 лет - нихуя блять не поменялось.
>>260316679 Да не, наплести то можно что угодно. Но вставшие как копейка на трассе госуслуги, еще и вставшие намеренно, это очень серьезный риск. Для всех саботажников. >>260316622 Доброфлот годнота. Иваси вот у них охуеннные.
>>260316562 Родной, распакуй, открой текстовый редактор какой-нибудь, проведи поиск по файлам в папках/директориях ключевое слово укажи "№ сертификата" это из страницы с QR кодами, там посмотрим куда к чему идёт и будем генерировать свои настоящие QR коды!
>>260313651 (OP) Объясните, почему многие сервисы в ру сегменте до сих пор не хакнули какие-нибудь индусы? Блядь, если с госуслугами такой пиздец творится, то разумно полагать, что какой-нибудь мухосранский банк хацкер с прямыми руками как липку обчистит за пару часов. Почему до сих пор ру сегменту не устроили ночь ярких мониторов и не вывели все бабки куда-нибудь в Химачал-Прадеш? Чистейшее везение?
>>260317452 >вообще всё, из-за таких, как ты Ага, это ведь я ветку гита наружу всему миру выставил. Нахуй иди, пидор. Что ИБ в Рашке нет и без тебя знаем. как и в целом в мире-то Хотя бы потому, что среднему пользователю, али кококодеру "ниудобна". А тренируй вас хоть каждый день, один хуй, либо по фишингу обосретесь, либо в гите пароли в плейн тексте оставите. Фича ведь.
>>260317740 Потому что банки - это не госорганизации, там люди получают большие деньги за безопасность. В госкомпаниях ИБ специалист (бумажный, даже не практик) будет получать максимум 50к на руки. Поэтому им похуй/поебать на безопасность.
>>260317838 Нахуя тогда нужна вся эта кибербезопасность в крупных корпорациях и госструктурах, если максимум, что могут сделать хакеры - это гифку с ебущимися негрилами повесить, а ничего значимого сделать не могут?
>>260317979 Взлом банка - это не взлом их сайта. У них есть корпоративная сеть где могут быть банкоматы, POS терминалы и прочая залупа, а также терминал SWIFT. Заимея доступ к этим объектам можно что-то сделать. Проникнуть во внутренний периметр можно благодаря внешнему а также благодаря тупорылым работникам, которые откроют "отчёт_важно.exe" и пустят во внутреннюю сеть.
Лол, а что там ещё должно быть, как иначе с ним интегрироваться-то? Пиздец, претензия уровня "А ПОЧЕМУ НА САЙТЕ ИСПОЛЬЗУЕМ HTTP, А НЕ СВОЙ ПРОТОКОЛ, М?"
>>260313651 (OP) >Пацаны забили хуй на директории .git и все их коммиты и соурс код успешно спиздили. > ой блять, да база избирателей США https://voterrecords.com/ до сих пор работает если знать как заходить со всеми данными. а дальше кто угодно пробивается, а у них еще и сайты по кладбищам есть с родословной, можно узнать кто кому родственник и пробить всех по прописке за один вечер, и еще найти сразу же все имушество на человека, все административки и уголовки и тд и тп за пару кликов.
>>260316348 Ну справедливости ради, так многие и делают. Мы второй год наебываем начальство, что проблема на стороне других, они сваливают на нас. А начальство тупое, плачется перед губером, что невиноватые они, не работает его задумка.
>>260318401 Чел блять, я по СШа по нужным людям находил даже могилы неродившихся детей, т.е. можно даже аборт узнать когда был и потом использовать эту инфу для раскрутки жертвы что типа я вижу вокруг тебя ауру умершего ребенка без имени. амеры тупые верят во всю эту хуйню, т.к. набожные.
>>260318592 какой еще сайт? какие там могут быть данные, забей.
я тебе реально тему говорю. я старух штатовских развожу просто пишу им простыни потом в скайпе дожимаю
одна такая была, я нашел по сайтам кладбищ ее брата по прописке и потом нашел что она хоронила своего абортированного младенца а там еще фотки могил есть и там овечка нарисована. вот я ее к дню смерти и развел что пиздец. она поверила что я посланник Исуса и прислал послание от ее неродившегося сына. Учись сопля...а то сайты какие-то рф какая-то
>>260317395 >ебали стандарты >на разработку собственных им выделяется хуева туча денег >ИРЛ тупо перевели очередной ISO стандарт, а вместо ISO влепили "ГОСТ". Остальное попилили. Трустри, лол.
>>260317395 Мань, я с ГИС не первый год работаю, иди на хуй со своими маняпредставлениями.
Эльбрусы и телефоны делают потому что есть где спиздить. И в итоге все равно их подгоняют под стандарты, чтобы совместимость можно было строить. И это не стандарты нихуя, это реализации.
В OAuth тупо нечего пиздить. Ну если так неймется, можно токены внутри OAuth подписывать ГОСТовским шифрованием -- это при этом всё равно останется OAuth, школьник ты безграмотный. Нахуя придумывать свою спецификацию если есть нормальная работающая, отвечающая всем требованиям защиты?
>>260313651 (OP) А жаль. Мне так-то нравилась эта хуета. Мне казалось что вот тут-то, тут программисты наши не подкачали - работает хуета, пользу приносит! И ничего, что она поначалу пиздец как глючило и выводило из себя, но сейчс-то - работает! Не то, что наши самолет там, или автомобили. Тут - смогли! Жаль будет, если тоже не смогли.
На сколько понял слиты только сорсы проекта, так что настоящие дыры через которые можно добраться до базы будут в ближайшем будущем. Пока сорсы разберут по косточкам чтоб слить базу пройдет немало времени. Сама база нихуя не слита.
>>260321841 Верстка с иЗОГброжениями, бинарики они тяжелые а учитывая сколько таких коммитов могло быть то легко, фикстуры, сотнимильенов миграций и автогенерированного кода, да дохуя чего. Короче просто вся история изменений.
>>260313651 (OP) Лахтопидорахенс тут с утра отрабатывал по методичке, что госуслуги охуенны, анало говнет. Где ты, чмоня? Бегом перекрывать, а не то отдолблю
>>260323708 Ты дебил? Репа отдельно, девопсы деплоят отдельно, если ты уровня девопса который клонирует всю репу на прод то у меня для тебя плохие новости.
>>260323902 Либерахопидор, в еуропе намного меньше услуг в элетронном виде. Изволь живую очередь стоять и принимающий может принять вне очереди не тебя. Ну как там, в виртуальной еуропе?
путин - вор и убийца, володин - гей, сын пригожина - тоже гей, лахтовики ощущают себя шлюхами, боинг сбили драмнбасовцы из российского БУКа, и так далее, но госуслуги как сервис - охуенны.
>>260315673 да нахуй ты вообще упал. можно спиздить паспорт абу и наоткрывать на него кредитов/аккаунтов на сайтах геев, короче всё как мы любим. Спасибо Абу!
>>260315358 >ты недооцениваешь количество бабла вливаемого в цифровой гулаг. Это говорит ровно ни о чём. Бабла могли влить кучу, а писали всё равно студенты на коленке.