Розробники проекту «Дія City» на кілька діб залишили у відкритому доступі сервери з даними, які використовувалися для розробки проекту. Завантажити їх звідти могли усі бажаючі, повідомляє спільнота Ebanoe.it.

Про те, що сервер має критичну вразливість, представники спільноти повідомили розробників «Дії» ще 30-го березня, але ті виправили її лише 2 квітня.

Представники Ebanoe.it запевняють, що про «діру» в сервері зберігання даних їм анонімно повідомила третя особа.

«За нашими даними ця «діра» існувала як мінімум з 21.03.2021 і невідомо які спецслужби яких країн могли отримати доступ до репозиторіїв (сервера-сховища – ред.) на той момент» — йдеться у повідомленні.

Повідомляється, що крім даних з розробки «Дія City» у відкритому доступі була також інформація щодо деяких інших проектів «Дії». В Ebanoe.it кажуть, що усі, хто знав про цю вразливість, могли завантажувати зазначену інформацію до себе на пристрої, а також завантажувати дані від себе на сервер.

Коли про проблему повідомили розробників, ті начебто зреагували лише за добу — і порадили звернутися з відповідним запитом до чат-бота «Дії». І лише за кілька днів відповіли коротким повідомленням «Дякуємо за інформацію», після чого «діру» полагодили.

«Ціла доба знадобилася команді Міністерства Цифрової Трансформації, щоб тільки звернути увагу на повідомлення про проблему. Це незадовільний рівень реакції на критичну кіберзагрозу. Ви теж будете добу є**анити, коли дані користувачів будуть зливати в мережу ???» — йдеться у дописі.

Представники Ebanoe.it вважають, що такий інцидент свідчить про непрофесійність команди розробників, відсутність вчасних аудитів за проектами «Дії» та ймовірну загрозу для персональних даних клієнтів сервісу.

Водночас, на Facebook-сторінці Міністерства цифрової інформації досі висить публікація з анонсом презентації проекту «Дія City», в коментарях під яким користувачі запитують про цей інцидент. Публічної відповіді на жоден із них поки немає.

Зауважимо: «Дія City» — це новий проект від Міністерства цифрової трансформації, який позиціонується як «спеціальний правовий режим з найкращою у світі податковою системою для розвитку IT-галузі».

Нещодавно ми повідомляли про те, як Мінветеранів виклало у відкритий доступ дані клієнтів на позачергову вакцинацію.

Фото: Фейсбук