本文分享给大家的是：

2021年 12月 28日，俄文版《福布斯》称，发现并发布了奔萨地区国家服务区域门户网站部分源代码的 Cybersec 创始人 Vladislav Khorokhorin 披露了其行为的原因此外，一位信息安全专家和他的同事讲述了他们在泄密事件中的发现。

Khorokhorin 透露，他从一位同事那里了解到，由于奔萨地区国家服务区域门户的 Git 存储库的安全设置不正确，可能存在问题同样在此事件的 Cybersec 网站上，仅发布了指向数据档案的一部分的链接，而不是指向该信息处于公共领域时公司员工能够获得的整个数据档案的链接。

现在，访问此数据由公共服务的开发者关闭Khorokh网站的名词解释题orin 发现问题后，就 Gosuslug 门户以及其他政府网站的数据泄露问题联系了 Gosuslug 网站的安全服务他写道，此泄漏包含可用于访问的数字证书，特别是用于访问国家服务的统一身份验证系统(ESIA)。

在多次致电对事件进行详细分析后，Khorokhorin 没有收到公共服务开发商的任何回应Khorokhorin 说，泄漏不是通过奔萨州服务网站本身发生的，而是通过莫斯科改造基金的网站发生的，该网站使用与奔萨州服务资源的联合存储库。

据他介绍，在同一个存储库中，还有其他政府资源的片段或完整代码Cybersec 没有公布他们的数据该公司的专家解释说，“对数据的粗略分析”表明，政府资源正在使用网站的名词解释题“陈旧的图书馆，这可能会导致严重的问题”此外，据 Cybersec 称，联邦和地区部门大约70%使用相同的代码库。

Khorokhorin 向该出版物解释说，他的同事并不是第一个在国家服务网站上发现漏洞的人他建议在一段时间内，攻击者可以利用这个漏洞获取俄罗斯用户的个人数据霍罗霍林表示，他公开了部分已发现的公共服务源代码，以引起人们对公共资源网络安全水平低的大问题的普遍关注。

根据 Cybersec 的创始人的说法，由于使用数字证书的格式正确的请求，可以获得俄罗斯用户的全名、联系信息、SNILS 和许多其他数据Khorokhorin解释说，这部分公共服务的安全级别很低例如，用于访问证书的密码很简单—网站的名词解释题—比如“12345678”。

熟悉泄漏数据的IS专家表示，没有关于用户的关键数据或纯粹形式的信息，但有一个电子证书，代表奔萨分公司允许在跨部门电子交互系统中进行授权，它被联邦和地区当局以及信用组织用于代表奔萨分行提供公共服务的数据交换。

行业专家认为，使用它，攻击者可以执行十多种不同的操作，例如，发送有关用户（姓名、姓氏、护照详细信息、各种文件）和组织（地址、员工、财产）的完整信息的请求现在，事件发生后，奔萨州服务部门的官方网站无法使用。