В сети Интернет и социальных сетях была распространена информация о потенциальной уязвимости в информационно-телекоммуникационной системе Дія. Государственный центр киберзащиты Госспецсвязи провел анализ этой информации и определил, что указанный инцидент не касается портала и мобильного приложения Дія, сообщили в CERT-UA.
Инцидент касается одноразового сайта dc.diia.gov.ua (лендинге-пейдж) для информирования и регистрации на публичное мероприятие «Презентация Дія City», который прошел сегодня 5 апреля 2021 года.
Найденный представителями IT-сообщества «пароль к репозиториям исходного кода» на самом деле является служебным токеном для инсталляции готовых (скомпилированных) приложений.
С использованием этого токена невозможно получить или модифицировать исходный код. Кроме того, использование такого токена возможно только внутри периметра защищенной инфраструктуры, а доступ извне заблокирован соответствующими настройками межсетевого экрана.
Поэтому, указанная уязвимость не привела и не могла привести к утечке информации из одноразового лендинг-пейджа, а тем более из ресурсов Дії.
Напоминаем, Дія не сохраняет персональные данные пользователей и успешно прошла багбаунти и пен-тесты на уязвимость своей инфраструктуры. Доверяйте достоверной информации, которую публикуют достоверные источники.