На портале Госуслуг были выявлены две уязвимости. Они связаны с использованием Covert Redirect или скрытой переадресации. Об этом сообщил Telegram-канал «T.Hunter» 28 ноября.

Редирект — перенаправление пользователя с одного URL на другой. Так, мошенники могут создать ссылку, которая действительно будет начинаться с адреса Госуслуг. С Госуслуг пользователя автоматически перенаправляет на подставной сайт, созданный злоумышленниками.

Также «T.Hunter» в своём посте указал, что платформа подверглась атакам XSS(SSRF). Однако представители портала Госуслуги признали уязвимость частично:
«…только open redirect, а возможности угона, XSS и SSRF тем более — нет», — добавили в публикации.

Как отметил основатель и владелец российской компании «Интернет-Розыск» Игорь Бедеров, XSS — вид атаки на клиентов веб‑приложения. Так, в браузере пользователя может быть исполнен произвольный код, который подготовил злоумышленник.

SSRF-атака — атака на сервер компьютерной сети. С ее помощью злоумышленник получает возможность отправлять запросы от имени скомпрометированного хоста.

«Редирект — это уязвимость невысокого уровня. Все они были устранены порталом. Госуслуги дали обратную связи о том, что с XSS(SSRF) они не столкнулись при ее устранении. Возможно, это было предположение или недоработка того лица, которое проводило исследование портала и опубликовало новость», — прокомментировал ситуацию эксперт.

По его словам, нечто подобное уже выявлялось в сентябре. Тогда Госуслуги смогли закрыть возможность редиректа спустя несколько часов после его появления, о чем писал Telegram-канал «T.Hunter» в посте от 15 сентября.

Говоря о том, как пользователям обезопаситься от новой уязвимости, Игорь Бедеров посоветовал в обязательном порядке поставить на аккаунт двухфакторную идентификацию, а также не хранить пароль от сервиса в браузере.
«Для хранения паролей лучше использовать внешний менеджер паролей», — заключил эксперт.

В пресс-службе Минсвязи не ответили на запрос Рунет.