В сети Интернет и социальных сетях была распространена информация о потенциальной уязвимости в информационно-телекоммуникационной системе Дія. Государственный центр киберзащиты Госспецсвязи провел анализ этой информации и определил, что указанный инцидент не касается портала и мобильного приложения Дія, сообщили в CERT-UA.

Инцидент касается одноразового сайта dc.diia.gov.ua (лендинге-пейдж) для информирования и регистрации на публичное мероприятие «Презентация Дія City», который прошел сегодня 5 апреля 2021 года.

Найденный представителями IT-сообщества «пароль к репозиториям исходного кода» на самом деле является служебным токеном для инсталляции готовых (скомпилированных) приложений.

С использованием этого токена невозможно получить или модифицировать исходный код. Кроме того, использование такого токена возможно только внутри периметра защищенной инфраструктуры, а доступ извне заблокирован соответствующими настройками межсетевого экрана.

Поэтому, указанная уязвимость не привела и не могла привести к утечке информации из одноразового лендинг-пейджа, а тем более из ресурсов Дії.

Напоминаем, Дія не сохраняет персональные данные пользователей и успешно прошла багбаунти и пен-тесты на уязвимость своей инфраструктуры. Доверяйте достоверной информации, которую публикуют достоверные источники.


Друзі! Запрошуємо підписатися на наш канал "Кібербезпека важлива" в телеграмі: @cybersec2021. Слідкуй за публікаціями з сайту в своєму смартфоні.