Знайшов цього тижня вразливість на gov.ua сайті

Для тих хто не знає, gov.ua - це спеціальний домен, який використовується держ структурами в Україні. Тобто, якщо на них є вразливості, то бажано за це повідомити.

Прям геніального мені нічого не треба було робити, бо буквально в гугл пошуку була відкрита веб директорія всього сайту. Там був хост за який люди забули і сам сайт був побитий часом. Я на ньому ще Adobe Flash Player бачив, а це само по собі вже рахується серйозною вразливістю.

Короч, написав знайомим, які мають зв'язки всередині держави. Також написав повідомлення в CERT-UA (наш держ центр реагування на кіберінциденти) і повинен сказати, що відреагували дуже швидко. Уже наступного дня домен закрили. Це мене дуже обрадувало💪

Тим не менш, якщо хтось планує зайнятися альтруїзмом і хоче допомогти державі з виявленням вразливостей - не спішіть з цим, якщо не хочете лишній геморой собі на голову.

Я цікавився чи можу я отримати якийсь офіційний дозвіл, який мені дозволить тикати наші держ сайти і щоб до мене СБУ з питаннями в хату не зайшло. Кінцевим рахунком цієї розмови було те, що такий дозвіл отримати неможливо через різну внутрішню бюрократію. Це не дивує, але я все одно трохи розстроївся, бо волонтерською допомогою ми б могли зробити взлом держ структур набагато складнішим. Хочеться якнайкраще, але виходить як завжди😩

Сьогодні буде стрім в 19.