Вайтишники из «ИТ Ассоциации» держали репозитории «Дія City» в открытом доступе

И это не шутка. Министерство и Комитет цифровой трансформации Украины сетовали, дескать ebanoe.it не написали о презентации «Дія City», исправляем этот момент.

Про що так і не написали в DOU та ebanoe.it. Онлайн-презентація від міністра та команди — именно с такой подводки начинается лендинг сайт (http://dc.diia.gov.ua/) грядущего проекта от МинЦифры, который должны презентовать 5-го апреля 2021.
Это впервые о самом скандальном ИТ ресурсе Украины и СНГ написали на государственном сайте. Редакция оценила этот юмор и смелость.

30.03.2021 — к нам на почту пришло анонимное письмо от неустановленного специалиста по кибербезопасности (итальянские хакеры?) или просто шарящего вебдевелопера. В теле письма речь шла об уязвимости на этом самом промо-вебсайте с анонсом презентации. Редакция внимательно ознакомилась с предоставленными материалами и убедилась, что описанная уязвимость действительно имеет место быть и реально критическая. Мы решили уведомить Министерство о находке, чтобы они залатали свою оплошность, прежде чем статья об этом будет опубликована на ресурсе ebanoe.it и общественность получит доступ к этой дыре госструктуры. Хрен его знает как могли бы это использовать злодеи в своих целях, как минимум был бы риск еще глубже навредить госструктуре. Как-никак у нас с ними есть общая цель: это сделать украинское ИТ менее ебаным и более профессиональным.

По нашим данным эта дыра существовала как минимум с 21.03.2021 и неизвестно какие спецслужбы каких стран могли получить доступ к репозиториям на тот момент.
Ключевой момент в этой всей историиникакого взлома не было, никто ничего не ломал. Люди просто ознакомились с тем, что лежало на поверхности в открытом доступе и сообщили об этом. Мы сразу уведомили об этом вашу команду всеми доступными способами, прежде чем публиковать информацию о найденной уязвимости.

На текущий момент эта уязвимость уже закрыта, поэтому публикуем с чистой совестью.

В общем, халатность и непрофессионализм команды, работающей над «Дiя City», привела к тому, что на ресурсе dc.diia.gov.ua в открытую лежал git репозиторий лендинг промоушен-странички, а также креденшиалзы к доступу в другие репы проектов на их гитлабе. Обнаружилось это просто потому что последний коммит был скраулен поисковыми роботами и засветился в поисковиках.

А дальше это позволило проверить «неужели они .git папку в свободном доступе держат?» — и таки да! это ПИЗДЕЦ #1

Далее в папке конфига В ОТКРЫТУЮ красуются логин + пароль + auth = это ПИЗДЕЦ #2

Не хочу даже тыкать носом в откровенное говно — что в 2021 году кто-то еще использует ПАРОЛЬ в текстовой версии вместо токена…

+ Я на 99.99% уверен, что большинство вашей текущей команды — это вайтишники, СЛУЧАЙНО получившие должности после окончания ссаных курсов. Ведь про такую же уязвимость мы публиковали материал еще в 2016 году.

Без проблем скачивается незащищенный .git-репозиторий — ну а хули, может это специальные дополнительные материалы к грядущей презентации мега-проекта от топовых специалистов формошлепов предоставленных Ассоциацией IT Ukraine.

Содержимое репо:


скажите, зачем вам для этого простого лендинга использовать Kubernetes ??? Кто до такого додумался или кто эту дичь протолкнул в команде?

Вот вам, почитайте на досуге:

Остаточные файлы, которые удалили, но они светятся в логе и при наличии мозгов их можно восстановить :
diia-city-fail-22

В общем, дальше существует очень большая вероятность, что ПРЕДОСТАВЛЕННЫЕ креды с логином и паролем можно было бы использовать для отправки НОВЫХ КОММИТОВ, а также для вытаскивания всего остального, что храниться на гитлабе. Благо адрес гитлаба и нужный порт тоже лежали в открытую! Браво! ВОЗМОЖНО там где-то глубоко в анналах таилась двух-факторная аутентификация, но мы не проверяли. Профессионалам уже б и найденной инфы хватило, чтобы за щеку надавать всем вашим девопс «спецам».

Хронология событий:
30.03.2021 — анонимное письмо с находкой приходит на [email protected]
31.03.2021 в 23:05 — мы сообщаем об уязвимости В ДЕТАЛЯХ на соответствующий секьюрити имейл [email protected] и [email protected] (контактный имейл МинЦифры)
01.04.2021: — 11:00, спустя 12 часов никаких ответов или приветов, дыра всё еще не закрыта.
14:45 — мы уже даже на Facebook пытаемся достучаться до них, чтобы обратили внимание

17:00 — получаем ответ с [email protected]

Доброго дня!
Зверніться в службу підтримки Дія в чат бот або на електронну [email protected]

Ну охуеть ведь! Им на блюдечке приносишь багхант и говоришь «ваши проекты утекают в сеть!», а они такие «обратитесь в службу технической поддержки!» это ПИЗДЕЦ #3 !
Дорогие мои, при поступлении информации, что вашу систему ебут или могут выебать, — любой ваш паршивый имейл-клерк просто ОБЯЗАН БИТЬ В КОЛОКОЛА и сообщать верхушке об этом, а не перекладывать усилия по коммуникации на того, кто вам сообщает о вашем проебе. Это кому надо больше?
17:10 — форвардим письмо на [email protected], дыра все еще не прикрыта.
22:00 — спустя СУТКИ БЛЯТЬ! получаем сухой ответ от [email protected]

Дякуємо за інформацію.

Но уязвимость по прежднему не устранена. Целые сутки понадобились команде Министерства Цифровой Трансформации, чтобы только обратить внимание на сообщение о проблеме. Это неудовлетворительный уровень реакции на критическую киберугрозу. Вы тоже будете сутки ебланить, когда данные пользователей будут сливать в сеть???
02.04.2021 — по состоянию на 10:00 уязвимость была закрыта, .git папка скрыта. Работоспособность скомпрометированных паролей мы не проверяли, понадеялись на то, что у их девопсов ума хватило пароли ревоукнуть.

Вишенка на тортик в этой истории: девопс (который работает в МинЦифре и в чью зону ответственности входит поиск подобных уязвимостей на проектах/системах и мониторинг ящика security) у себя в Линкедыне показательно лайкает профильные материалы по кибербезопасности, чтобы все видели, что он в мейнтстриме и следит за последними трендами. А по факту что? — типичный представитель «вайтишной» эры, который логин и пароль хранил открыто в текстовм файле по урлу в проекте. Л — лицемерство.

 

Выводы:
Сутки на устранение критической уязвимости — это вообще не уровень команды, которая ратует за диджитализацию всей страны и прочие продвижения ИТ в массы. В МинЦифре сейчас около 20 одновременно запущенных проектов в разработке и еще 100 запланированных до конца 2021г. Эти проекты делают совершенно разные команды, как с именитых галер, так и ноунеймы, продвигаемые небезызвестным Тарасом Кицмеем (директор ИТ Ассоциации), который ни за что не несет ответственности, когда под его руководством происходит слив паспортов его сотрудников. Нет никакого контроля или аудита за тем, что делают все эти люди, получая зарплату из нашего с вами кармана…

Я, как гражданин Украины, не хочу чтобы мои налоги шли на оплату труда откровенных дармоедов, формошлепов и людей, не знакомых с понятием профессионализма. Сейчас на лицо открытый пример наплевательского отношения к кибербезопасности со стороны представителей МинЦифры. А ведь Михаил Федоров, «Министр цифровой трансформации Украины», полтора года назад гнал на кибербезопасность в своем интервью изданию «Левый Берег».
https://lb.ua/news/2019/11/29/443401_mihail_fedorov_ya_uveren_100.html

Давайте рассмотрим оттуда самую потешную цитату:

Михаил, по текущим событиям оно и видно, что в «новой команде» наплевательское отношение к кибербезопасности и клиентским (читай государственным) данным. Рыба гниет с головы? Весь ваш софт пишетcя за государственные деньги и с наших налогов, а Ваша команда вот так вот его код и данные безалаберно и в открытую сливает в интернет. С таким подходом как у Вас, я надеюсь, что всю вашу «новую команду» тоже уволят/разгонят за непрофессионализм и как профнепригодных.

Какую презентацию «Дія City» вы собрались делать 5-го апреля? А ниче что вы не смогли обеспечить надлежащую безопасность простейшей всратой html лендинг страничке? О какой надежности и защите персональных + государсвтенных данных вы собрались гипножабить людям?! Через маленькую дырочку в безопасности всю вашу хваленную систему с исходниками потенциально было видно насквозь, и вам свой дуршлаг латать надо + проводить внешний аудит безопасности ВСЕХ ПРОЕКТОВ, а не презентации сейчас делать, иначе грядет очередной IT-факап национального масштаба. Вы этого позора хотите или хайпа? И меньше идите на поводу у Ассоциации ИТ Украины, к их компетенции очень много вопросов, а репутация давно запятнана.

А пока можете Анонимуса вписать в security hall of fame.

176 Комментариев

  1. Зигмунд Фройд:

    Да, я самый первый мужеложец.

    19

    8
      • M:

        Почему комент собрал столько дизлайков? Там же все правильно написано? И про белорусский ПВТ в том числе.

        P.S.

        «Не хочу даже тыкать носом в откровенное говно — что в 2021 году кто-то еще использует ПАРОЛЬ в текстовой версии вместо токена…»

        Какого токена? Ты о чем дядя? О физическом токене типа FIDO?

        И с какого перепуга пароль говно? Редакция ты про энтропию слышала что-нибудь?

        Нех придумывать пароли типа iamsuperman, любой инструмент в руках обезьяны приводит к последствиям:

        https://www.youtube.com/watch?v=Qel5cxMgteo

        2

        6
      • ДИКПИК:

        После такой новости и такой очевидной уязвимости (О КОТОРОЙ ПИШУТ ТУПО НА ВСЕХ САЙТАХ ПО НАСТРОЙКЕ СЕРВЕРА), нам точно ПИЗДА.
        КОМАНДА ДОЛБАЕБОВ.

        Государство в смартфоне, суд в смартфоне — это все дикпик в смартфоне.

        Первая страна в мире, которая ввела електронный паспорт с кучей микрофинансовых контор…. )))) ну вы поняли.
        Первая страна в мире по КОВИД-19 ))).
        Первая страна в мире по….

        5

        0
    • Защекойн:

      Первый среди равных.

      7

      0
    • Зигмунд Фройд:

      >Я, как гражданин Украины, не хочу чтобы мои налоги шли на оплату труда откровенных дармоедов, формошлепов и людей, не знакомых с понятием профессионализма.

      Это и есть каноничный пример мyжeложства в украинском айти, статью про которое вы так и не соизволили опубликовать

      36

      0
    • Пассивненький:

      Был бы ты мужеложцем выложил бы очко в открытый доступ

      8

      0
    • Vovan:

      Реально это один из первых айти энтузиастов Украины. Этот мужик думал о собственных суперкомпах кад кам системах и линуксе и дата центрах когда еще ходили тысячи и тотальная алкоголизация. Он основал запорожскую айти компанию и этот самый дия сити. Это реально просто контора которая бы вводила айти в государственный сектор Украины.Почему это нужно — потому что вместо ада и Израиля и беготни с бумажками для открытия фирмы или узаконивания недвижимости или еще какой нибудь юридической процедуры, открываешь как в России с этим электронным правительством аккаунт в виртуальном кабинете платишь небольшую копеечку и все сделано можно даже на телемедицину записаться.Сей славный муж стоял как у истоков торрентов,университетской сетки кпи которая переросла в сеть провайдеров по всему Киеву и облачные хранилища данных,оптического кольца связи по Киеву и Украине,превращения укртелекома из уг во вполне себе провайдера АДСЛ линий,так что относитесь к нему с пиететом. касательно вобще проекта и безопасности его в частности там используется внутренняя сетка закрытая сквозным шифрованием, то есть даже админ не может вскрыть,а безопасность узла обеспечивается ссл 2.0 то есть шифрованием двойным ключом что вообще исключает возможность взлома даже теоретически, сей »баг» указанный на странице просто вставляет поле в серверную базу данных собираемую с вашего компа а никак не допускает кровавую цэрэушную гэбню к святая святых секретам украины.

      3

      4
  2. SWEETcher:

    ЭТО ПИЗДЕЦ

    108

    3
    • жук хуюк:

      грошей у них нету на приватний репо, все распилили уже

      29

      2
      • Пиздюли Driven Development:

        Отборные гниды там засели.
        С такими уёбками нам никакие враги не нужны…))
        Вместо того, чтобы поблагодарить, и самим переслать письмо куда надо, они прислали отписку.
        Надо было после этого запостить на хакерский форум, чтобы кто — то проверили, что там за пароли захардкодили…))

        37

        1
    • робот:

      интересно как скоро на торентах появится репак с исходним кодом ?

      9

      0
  3. ЯвАхуе:

    Бляяяяя…. ви що там їбанулись? Яка нахуй діджиталіхуяція?? Як цей понос взагалі ще працює? Що за тіма даунів? Ще й ввели що паспорт з дії рівноцінний паперовому, ви взагалі вже там сука йобнулись?

    145

    5
    • Гагаль:

      Зря что-ли столько швидкогрошей пооткрывали?

      Паспорт в Дие показал,
      Кредит в манивео на терпилу взял.
      Машину терпилы циганам продал,
      Две тысячи сто ОООшек создал
      Теремок плачет,
      Терактов ревёт.
      Вот такой он вот,
      Электронный документооборот!

      110

      1
      • Jay and silent Bob:

        пиво пьем, пьем, пьем,
        документы продаем!

        Пятнашка баксов, чувачок.
        Гони в лапу пятачок.

        38

        0
  4. Гоп на пляшку:

    Пyтин нам не нужен, мы и без Пyтина с развалом страны справимся!

    75

    69
    • Цифровой Ташкент:

      > Какое-то кривоебучее приложение, которое никто ставить не заставляет.
      > «развал страны».

      Вась, а как ты живёшь с такими инфантильно терпильськими взглядами ?
      Когда касирша в сильпо 10 копеек недодает — тоже небось причитаешь аки экзальтированая дама бальзаковского возраста ? 🙂

      50

      10
      • Васян из Мариуполя:

        > Какое-то кривоебучее приложение, которое никто ставить не заставляет.
        его к паспорту приравняли

        19

        2
      • Да ты же yeбoк!:

        > Какое-то кривоебучее приложение, которое никто ставить не заставляет.
        так как его к паспорту приравняли, можно взломать и всем ихтамнетам и жителям луганды сделать доки для всего чего угодно

        10

        7
      • Защекойн:

        Вика Мусияка где-то нервно начала икать.

        1

        1
    • Кошка бросила котят, это ... виноват:

      Так это Пymuн виноват, это он открыл пароли и прочее в паблик. Лично
      Бидон с его обвинениями «русских хакеров» не даст соврать

      21

      8
  5. Грета Йоббернг:

    Не, ну это отличный фейл. Никто и не сомневался.

    44

    0
  6. СЬЕБАЛ В США:

    У ЕРАТА зашквар за зашкваром даже на гос проектах) Они все еще делают H1/B1 визы в США?

    17

    5
    • СтарЯ:

      А они каким боком к ДияСити? Не путайте с приложением Дия, которое ЕПАМ начали разрабатывать на волонтерских началах, и спустя несколько месяцев передали МинЦифре. На этом всё.

      13

      0
      • Cheluskin:

        Вы поинтересуйтесь кто в Беларуси строил кластер. Посмотрите что за команда юристов и экспертов писала законопроект и кто вероятно оплатил десятки тысяч часов работ. Такие законопроекты, которые ставят раком всю отрасль, штука недешевая даже чисто технологически. Их могут позволить себе две компании всем известные. Кицмей писал, и не оставляет попыток пропихнуть вместе с Кирой свой закон, так что его вычеркиваем.

        2

        0
  7. .............:

    Сложбове становище є – розуму не треба.
    Tyчков – cильньıй менеджер: https://gofile.io/d/ZADQCC

    сашко шукає розраба закрити позицію: https://gofile.io/d/rugzR8

    а тут знайшов: https://gofile.io/d/jMSB6i

    Старі добрі доковідні часи у г-лоджику. Робота кипить: https://gofile.io/d/Np876H

    https://www.vnutri.org/globallogic#comment-769441

    3

    9
  8. VoloDIIA:

    OR 1=1; drop table users; —

    =)))))))))))))))

    55

    0
  9. Gendalff:

    надо было у рубистов из днепра заказывать

    12

    0
    • Дружная команда рубистов из Днепропетровска:

      Дружок, мы со всякими пидарасами не работаем 😉

      45

      0
  10. дотнетчик:

    ебать стыдно за свою страну(((

    54

    7
    • Pyбист:

      Мне стыдно быть гражданином Украины. Я уже подал доки на получение молдавского паспорта, такого же, как у гребца-хуйца

      19

      19
  11. Сотрудник Академии ШАГ с блэкджеком и Дмитрием Корчевским:

    *** большинство вашей текущей команды — это вайтишники, СЛУЧАЙНО получившие должностя после окончания ссаных курсов

    Официально хочу заверить — НИХУЯ ПОДОБНОГО.
    Наши выпускники даже не понимают о чем речь (только что зачекал на нескольких наших уебках).
    Некоторым знаком git.
    Некоторые даже слышали, что летом должно что-то такое там с паролями произойти, но не уверены.

    60

    1
    • МетоДиня Академії ШАГ(болять неможна перекладати 3 літери):

      Вот чего ты дразнишься.
      Мальчики будут работать у Морозовой.

      12

      0
  12. Ебаный читатель:

    Жалко не нашлось человека, у которого хватило бы яиц уронить весь этот сайт, ну или хотя бы порнуху вместо лендинга показать, или какой-нибудь месседж против этой сраной Дии оставить — так хотя бы в медиа могли бы осветить. Помните как все гос. сайты упали когда хотели закрыть ex.ua?

    107

    0
    • Директор RUBYроидного завода:

      Помним. Это такая вариация «вот при яныке было заебись»?))

      10

      2
      • Ебаный читатель:

        Это варицаия на тему «перевелись мужики на руси». Тогда уронили все гос. сайты по меньшему поводу. Сейчас угроза пиздеца ИТ-индустрии, а мы не можем уронить даже слитый лендинг. Даже петиция против Дии еще 25К не набрала, и может и не набрать.

        20

        0
        • 3E:

          He переживай, я положу на твою петицию свой музыкальный орган
          После того, как на рояле им сыграю, да

          16

          0
    • Peacemaker:

      Господи, да что там ронять-то и зачем? Беспрофитная и далекая от реальных челенджей хуета. Оно само упадет, и не раз.

      У меня вот другой вопрос: какими, сука, нужно быть кокаиновыми дегенератами и насколько упоротыми, чтобы катить эту обосранную телегу в массы жопой вперёд со спущенными штанами? В какой теплице эти облученные овощи плодятся ? И это говно все — за наши с вами деньги — с уплаченных налогов и порезанных пенсий. Слов нет. Упыри-полупокеры

      12

      1
  13. Капитан Хуй:

    У думающей аудитории нету иллюзий ,что если в украшке офлайн мод происходит лютый пиздец — то и онлайн будет не лучше. Только вы вместо того, чтобы взломать эту Дию к хуям, повели себя как сраные ссыкуны.

    «Извините черный властелин, у вас страпон отклеялся. Почините пожалуйста. Ну а мы подождем пока»

    93

    12
    • Очко Зигмунда Фройда:

      У думающих никаких иллюзий ещё с 2019 нет. Но мозг 73 процентов остальных не думающих был зохаван зэлэной гипножабой

      97

      12
      • Тень очка Зигмунда Фройда:

        У думающих никаких иллюзий ещё с 2014 нет. Но мозг 99 процентов остальных не думающих был зохаван пиндосской гипножабой

        25

        41
    • Мимоалигатор:

      Предположу, что ебаное хотело просто попиариться повыёбываться «вот какие мы пиздатые, как на не похуй на уязвимость говна». А телега про налоги и профессионалов это отдельный угар. Типа, походу забыли где живут…

      32

      0
      • Vlad♂ASS♂Love Mortikov:

        Ммм,мне нравятся такие инициативные и сообразительные активные мужчинчики как ты😘😘😘

        0

        0
    • Traktorist:

      Единственный годный коммент, нашли кому помогать, коллаборанты хуевы.

      3

      3
    • Поясню:

      Вряд-ли кто-либо, кто мог бы насовать на этот сайт хуев из благородных побуждений готов на это пойти в виду того, что сохрани он анонимность все спишут на «врагов государства» и будут «улучшать сервис» дальше игнорируя мнение компетентных специалистов, а раскрой такой человек свою личность и мотивацию — его ждет тюремный срок. В то же время злоумышленники, которые будут пиздить и торговать данными в целом не заинтересованы в безопасности этой хуйни и просто ждут пока данные туда зальют. Я не сомневаюсь ни на секунду, что вся эта хуерга будет поломана уже в день запуска. Проблема в том, что противодействовать этому дебилизму невозможно. Возможно только не пользоваться этой хуйней отсрочив тем самым консолидацию своих данных в одну общую БД, которая в итоге и потечет, хотя бы до момента громкой протечки этой самой БД.

      14

      0
  14. Хер в пальто:

    Так бля, сейчас оно в PowerCode пилится, которые же EASE которые говорят как все хорошо

    5

    0
  15. hate:

    Нахуя спалили-то? Нужно было подождать и во время презентации положить его к хуям, или поставить фотокарточки хуев на лендинг.

    109

    1
    • не СТО:

      1) что б показать себя лучше, чем есть на сомо деле
      2 абы не сесть на бутылку. кагбэ госресурс, статью пришить могут

      10

      2
    • каментер:

      дети если бы знали, то наверно фоток хуев бы и накидали. а так это видели только дяди, и раз оно было в паблике с паролями доступа, то дяди туда бекдоров накомитили и теперь просто ждут когда оно в релиз выйдет, чтобы всех провернуть на хуе, а не его фотке.

      3

      0
  16. Свинорылая Кира Рудык:

    Я кицмея рот ебал. Потому что фройд из комментов это и есть кицмей

    17

    1
  17. КулХуцкерРептилоид’33 уровня:

    Шо ж вы не слили инфу, как пейсбук недавно
    Заработали бы шекелей

    21

    0
  18. Очко Зигмунда Фройда:

    Отличная реклама Дии и министерства цифровой вротебации)))

    33

    2
  19. Аноним:

    При чем тут ИТ Ассоциация и тем более Кицмей, которий дуже не является ее руководителем — загадка. Фактчекинг — не, не слышали…

    8

    34
    • Кицмей, перелогинься!
      ИТ Ассоциация — это непосредственно те кто пушит разработку этого дерьма, а Кицмей — это главный погонщик в этом деле ибо он пилит на этом миллионы.

      53

      5
  20. ФормоШлепер:

    Писец, а еще хотят больше рубить бабла с налогов

    13

    1
  21. Грамарнацик:

    ИШЛИ??? Мои глаза. Афтар, минцифра зашкварилась, да. Но это не повод кровопусканием из глаз коллег по цеху заниматься. Поставь, что ли ворд (не ворлд оф танкс)

    21

    2
  22. Сергей Дружко:

    Я в рот этот мин цифры ебал. Тупо набор бесполезных хуесосов. Нужно было залить им гей порно с нигерами в мастер бранчу, чтоб на главной странице показывалось

    53

    1
    • Віктр Фьодрич Якунєвіч:

      Нужно било, хрю хрю хрю, чо ж ти не залив пітушара? Діванний воїн???

      14

      2
  23. Гребу как Могу:

    > jquery, php
    > 2k21
    Ахуеть.
    Не удивлюсь, если эти рогули в АВС или гугл клауде это всё хостят за пределами Украины. Ну, а хуле, так же в туториалах пишут.
    Короче, только бумажные доки. Вайтишное поделье пусть сами юзают.

    23

    4
    • Кек NULL:

      Лол, а на чем ты лендосы собрался делать? На джаве с ангулярами?

      13

      0
      • Лендос барбос дикий пес:

        Обычно, если нет отдельного слуги-говнокодера для лендосов их пилят на том же стеке, что и все остальное…

        3

        2
        • Кек NULL:

          Эти товарищи не запилили лендос на той же сраной тильде только потому, что их бы облили говном за использование мокшанских сервисов. Снова.
          На этом фоне стандартная связка какого-нить вордпреса и жквери не выглядить чем-то сильно зашкварным. Тем более госы у нас подобное любят почему-то.

          P.S. вордпресс — зло. js — зло. Пишите статические сайты на xhtml.

          3

          12
  24. Васян:

    Бля, а чего вы ожидали от сраных хипстеров что наняли школоту за 500 бачей в месяц?))
    Вся эта диджитализация работает так как виталик кличко ее выговаривает..

    60

    0
  25. СТО твоей жопы:

    статья — хуита
    ну сделаный у низ на отъебись лендос, и шо с того? у кого он не на отъебись — тот лох и тратит деньги не туда
    вот, если бы они гит от мнорепы проебли — вот это было бы охуенно. а так — похуй, пхп-поделки, блядь
    рыбажук раздул сенсацию из нихуя

    22

    24
    • Микола:

      Проблема не у тому, що знайшлась бага — у всіх буває. А у тому, що 1) це наглухо тупа бага та 2) вона продемонструвала проблеми з процесами у Дії.

      10

      2
    • Тиктокарь 6-го разряда:

      Если они неспособны сделать нормально сраный лендинг то что говорить об электронных паспортах

      Раздул тебе за щеку

      9

      2
    • Атакующий лидер:

      Так и есть. За что заплатили, то и сделали. Ну ок, сырой продукт, и чо? Да, соцнавыков не хватило донести баг и получить баунти. Но вероятнее дело в том, что Жукораб поддержал/поддерживает челобитную петицию безграмотного долбоеба с ДОУ, а это что-то вроде PR поддержки, ну, чем уж может. Вроде Рабожук и трет политоту, но при любом удобном для себя случае готов навалить кучу и сам в ней утонуть.

      1

      2
  26. МинистерствоГовна:

    Конченные, никчемные далбаебы.
    Ебать страна клоунов

    31

    5
  27. Я нихуя не понял:

    Я все-таки за порнуху, вот это ваше «Извините, у вас ус отклеился» как-то не то для самого скандального сайта IT. Где же ваше Панки ХОЙ?

    9

    2
    • Уставший путник:

      Эти хуесосы настолько мелкие и жалкие, что ради них наверное никто не хочет получить даже намека на уголовную статью.

      Так, кто-то написал что у них фейл случился. А другого от них и не ожидали.

      Или может кто-то ещё в стране или за ее пределами думает, что гос.структуры здесь на что-то нормальное способы? Без зашкваров, распилов, смотрящих и прочей хни?

      14

      0
  28. Работорговец;) продаю рабов для дяди Сэма (дорого):

    Удивляет что из овер 200к гребцов, петицию на сегодняшний день подписали менее 10%
    Это ли не пиздец?

    24

    5
    • Матрос, который хочет стать капитаном:

      Просто всем уже похуй на дежурные отписки графоманов из администрации президента по этим петициям. Реально работающие петиции — горящие покрышки в урядовом квартале.

      91

      2
    • Атакующий лидер:

      Чтобы что-то подписывать, нужно для начала понять, что именно ты подписываешь, то бишь идею. Идеи там нет. Вначале идет челобитное хуесосание чиновникам, далее — показывание им жопы и истерия. 16к для такого уже слишком много, хотя и не удивительно. Думается, большая часть даже не проживает на территории Украины. Знаю пару знакомых которые не живут тут годами, но имеют счета и авторизовались, и смеха ради проголосовали, лол.
      В любом случае, кому какое дело? Если подать петицию к созданию законопроекта о кастрации чиновников и их семей, ее к завтра подпишет 200к. Легче тебе станет? ) Просто прими таблетки и в медикаментозный сон.

      5

      3
      • Сфера тайсона:

        >>Если подать петицию к созданию законопроекта о кастрации чиновников и их семей
        Отклонили в премодерации

        5

        0
  29. Пендус-програмист:

    Сразу видно, что ответственный за креденшелы черпал свои знания из бесплатных индус-видосов на Ютубе.

    Потому что в платных, даже индус-видосах, проговаривают о том что это зашквар, так делать не надо, логин и пароль это несекъюрно, минимум это кей пары и особенно нужно смотреть, чтобы креды в гит не попали.

    Сука. Ну как так-то?

    12

    2
  30. Дия сити - ХУЙ сосите!:

    Дефолтный пост.

    15

    1
  31. EudgenS:

    Автор просто порохобот і парочіт каманду сонцесяйного бубачкі. А нє, стоп. Швидше за усе і автор і 73% коментаторів голосували за цього президента та його каманду, в тому числі і тих, хто відповідальний за такі дірки, а тепер усі швиденько згадали про свої налогі. Ні, любі мої ще буде весело, розважайтесь. Може хоч наступного разу задумаєтесь, що робите.

    38

    5
    • Віктр Фьодрич Якунєвіч:

      Щоб задумиватись в голові має бути щось окрім калу. Ще вчора Софтсерв просрав пів контори в мережу. Скільки клоунів що тут про «зашквар» кукарєкають, порацюють там? А тут «зашувар» з пальця висмактаний. Галери з тисячою говнокодерів шкваряться і нічого. Дія Схуіті ще не погана пропозиція з непоганою безпекою якщо порівнювати з рівнем середнього хахлайтішніка.

      13

      5
      • Хатаскрайник з Киеву:

        Віктр Фьодрич, голубчик, может вернётесь, а? Мы ведь не хотим ещё 20 лет возвращаться к уровню жизни, как было при вас
        Это кляти москали нам устроили Maigaн, мы бы сами никогда, ни за что.
        Хотим знову панувати, песни гарно спивати

        11

        17
    • alteregoboy:

      у порохоботика бомбануло, что в 2018 не выбрали их гетьмана коррупционера, как мило : )

      6

      16
  32. Василь:

    Самое обидное, что влада это не читает. Она как паровоз с горки, разогнался и хрен остановишь, иногда тешит себя, перечитывая очередные опусы безмозглых хрюш о зарплатах 5 тыш баков на рыло. Короче писец, который не лечится

    18

    1
  33. Как обычно:

    Презентация пройдет, доложат о небольшой оплошности и даже не вспомнит потом никто. Все пойдет своим чередом.

    16

    0
  34. ai ебаного на питоне:

    После того как мы переписали Рыбу на фортране он резко пошел в кибербезопастность ¯\_(ツ)_/¯

    23

    0
  35. Говно_в-проруби:

    Да норм бывший смм-щик напедалит вам щас диджитализацию

    7

    0
  36. Доебатор 2000:

    Я может чего-то не понимаю, но с чего истерика из-за репо блядского лендинга? I mean, это просто лендинг на котором не хранится нихуя, на него и поставили низкоуровневых. Дебилы забыли скрыть . git, и за сутки пофиксили (то что ваше письмо откопали за сутки на gov почте это охуеть), и на это понадобился целая статья, с истерикой на уровне слитой БД Дiя?

    13

    29
    • Василь:

      В прошлый раз они паспорта всех слили

      18

      2
    • Рофлерз:

      С того что там лежали креды от gitlab сервера, кто знает какие репы там лежат. И какбэ да, есть уязвимости позволяющие залить шелл через этот самый gitlab сервер, а это уже доступ к файловой системе/командам, делай шо хочешь, главное чтобы прав хватило. Самое банальное — огромный хэр вместо презентации, посерьёзнее — доступ к внутренней сети, если этот самый gitlab хостится где-то на периметре компании.

      16

      0
  37. dr.duban:

    может быть это задумка была такая?

    в будущем которое я вижу нет ничего приватного, никаких секретов.

    «мои яйца, ее жопа — все в публичном доступе», цитируя классиков (Э. Картман, Саус парк).

    6

    0
  38. 301й спартанец на галере:

    пппхахаха блять, никогда такого не было, и вот опять

    11

    0
  39. Майор:

    Ты допизделся, сука.

    0

    10
  40. zalupa:

    Ну вот вы налоги не платите вот им и не хватает даже на кибербезопасность.

    20

    0
  41. Антисфен:

    Читаєш заголовок статті. Очікування: злили персональні дані мільйонів громадян. Реальність: якись пхп-шник вкотре обісрався з лендінгом.

    5

    12
  42. Баттлфилд Овервотч:

    Я ведь правильно понимаю: изначально у «Дії» нет твоих данных, и если ты там не зареган, то они никуда не будут слиты и всё збс? Но если ты зарегался, то приложение делает запрос в архивы или банк и подтягивает оттуда твою персональную информацию. Всё так?

    3

    1
    • Чип Билла Гейтса:

      Твои данные и так уже есть в базах, если оформлял биометрику или ID. Просто шансы их проебать с гоструктуры немного ниже чем через влажное поделие диджитализаторов.
      Чем больше установивших и активно пользующихся этой хуитой, тем выше у диджитализаторов желание запилить централизованную базу всех документов для получения которых не нужно никаких особых запросов в соответствующие органы.

      Мало того что ломануть это будет легче, так ещё и чинушам будет куда легче собирать информацию без судов и регистрирующихся обращений. Собственно больше шансов набутылить инакомыслящих.

      14

      0
  43. Киберполиция:

    Немедленно удалите эту статью — иначе ответите по закону за вмешательство в работу государственных сайтов!

    8

    11
  44. ебать , редакция новую тему запилила или єто итальянские хакери балуются ??

    0

    0
  45. Дно_пробито:

    А тим часом у Вірменії…Какие льготы предусмотрены?

    Для субъектов предпринимательства, успешно прошедших сертификацию, предусмотрены налоговые льготы, а именно:

    Ставка налога на прибыль снижается с 20% до 0%;
    НДС снижается с 20% до 0%;
    Ставка налога с заработной платы работников (минимум один) снижается с 23-36% до 10%.

    3

    0
  46. Василь:

    Один из законов совка — если хочешь чего-нибудь захерить, попытайся организовать это. Что и делает влада с айти сейчас

    14

    2
    • Внезапно:

      Таки що, Украина — це совок?

      9

      2
      • веб-макака:

        к сожалению, да

        14

        4
        • Макогiн:

          Не пизди. ВВП украины по итогам 2020г составляет 60% от уровня ВВП УССР 1990г
          Вам до совка, как до Китая раком

          11

          20
          • СТО твоей жопы:

            153 vs 81 млрд $. с поправкой на девальвацию доллара это каких-то 93%
            где ты инфу про 60% взял, из паблика Шария, клоун ебаный?

            27

            1
            • Макогiн:

              1) Клоун ёбаный — это тот, за кого ты и такие как ты голосовали
              2) В украинском комитете статистики
              3) Вашим бомбежом удовлетворён чуть более, чем полностью

              5

              12
            • Горькая правда:

              Реальность показала, кто кого кормил в СССР на самом деле

              2

              3
      • Чип Билла Гейтса:

        Управляет нами Совок и совковые выблядки вскормленные старой системой. Неужто это до сих пор сюрприз, в 2021-то?

        9

        1
      • Wix Architect:

        Always has been…

        0

        1
  47. Дно_пробито:

    Їдемо далі, упевнений, що є пільги у афганців і Атошніків на відкриття власної справи. Далі, в цьому певен, ФОП пенсіонери не сплачують 35% до пенсійного фонду. Чим вам не оптимізація — реєструється мама, бабуля і з нею договір про gig contracts.
    До чого це я веду…певен навіть в Україні, в межах одного великого конвертацвйного центру, важелів придостатньо відповісти зеленій дії.

    0

    0
  48. Оптимізатор:

    А про трійку лідерів з наднизькими податками не видалять? По інформації укрЗМІ, це Македонія, Катар і Кувейт..цікаво…

    0

    0
  49. [Alien]:

    Страна в айфоне, хуле

    2

    1
  50. Алеся Морозова из Vox Digital LLC:

    Вайтишники хорошо куни делать, а вот подпускать их к веслу нельзя.

    4

    5
  51. гребец-хуец:

    На самом деле они настолько уверены в своих алгоритмах безопасности, что даже позволяют другим людям смотреть исходный код как и телеграмм. Да что уж там. даже выше телеграмма — можно коммитить. Но это неточно.

    Блять, опять взяли на прикормку очередных друзей Зе и пилят бюджет страны. Зе видимо подсказали что можно пилить бабло и в айти. Набираем команду вайтишников с курсов шага или бывших доставщиков глово, платим им по 500 баксов, объявляем о создании 100000 проектов, и списываем на эти проекты бабло из госбюджета — изи.

    11

    1
  52. KlN:

    Это пиздц. Хотя по факту — такой факап минцифры — это по сути госизмена и бездействие подвергшее опасности гостайну. Это очень серьезная статья. Не уверен, что люди которые там работают это понимают и уж точно никто не будет заниматься поиском виновных.
    А значит — ждем серьезных дальнейших факапов.

    5

    3
  53. Усе в Катар:

    Президент в Катарі! Співпадіння, не думаю!

    0

    0
  54. Техник:

    Годнота! В голосину 🙂 Аналог роскомпозора 🙂

    4

    2
  55. Cheluskin:

    Что вы раскукарекались, эти репы изначально задумывались как opensource и будут выложены после релиза на гитхаб, как это делают все. Нет у минцифры никакой команды разрабов, все делают волонтеры, которым оплачивает EPAM и другие аффилированные с ним конторы, по договоренности напрямую с ОП. Федоров может даже не вкурсе. Он еблан. Анонимные хакеры ищущие уязвимости в html коде, лучше обратите внимание на кабинет налогоплательщика и геокадастр.

    13

    17
    • роббот:

      ну и нахуй они надо эти поделки формошлепов. какие бабки платят — такое отношение и качество кода, аудит безопасности этого говна видать никто не делал

      2

      1
  56. АНтиДiя:

    Это какой то позор…

    6

    0
  57. Сергей:

    Автор какой-то опущенный задрот, который на ровном месте наводит кипишь и всех увольняет😂🤣😂 Увольнялка ещё не выросла, а ЧСВ уже под небесами)))

    6

    22
    • Виталий Цицькин QA Manual (Дія City):

      серёжа здраствуйте у нас там паспорта утекли опять мне сказали постестить безопасност ь гляньте скайп пожалуйста спасибо

      18

      1
  58. Хуй:

    ебаные зеленые петухи!! Шоп вы ели всегда с дырявой ложки!

    4

    2
  59. Хакер:

    Да эти лохи бесплатно создаёт якобы эту хуйню. И якобы качество соотв. Хули удивляться. Лохи

    0

    4
  60. zirf:

    Если бы своими глазами не увидел на сайте госконторы надпись «ebanoe.it», я бы не поверил. Повешу скриншот в рамку.

    19

    0
    • 😂:

      Скоро на госсайтах слово «ХУЙ» будут писать, и фотки весёлых ебальников илиты нации, под слоганами «IT — будущее нации», и «Каждый пицценосец может стать веб-макакой», «Умеешь переворачивать бургеры? Тогда иди в QA-пидарасы!» и тп.

      13

      0
  61. Сотрудник Академии ШАГ с блэкджеком и Дмитрием Корчевским:

    Пидорасы.
    У нас из-за коммента в этой теме уволили единственного препода, что знал git.
    Коваль, мы будем помнить!

    21

    0
  62. ахуєть:

    Ахуєть. Лендос на тільді завернути у Кубер! Шо за звєрі і шо вони там курять?! Дайте мені!

    10

    1
  63. Картелес Украинес:

    Какой палец нужно отрезать русскому программисту, чтобы он не смог программировать? Указательный? Чтобы сложно было мышку кликать? Или большой? Как полевой командир в чей дом ночью врывались русские нацисты отморозки с автоматами, я советую отрезать всю руку. Хуй и яйца тоже отрежьте.

    7

    8
  64. Бутылка Васи Макогона:

    Как посмотришь на эти не отягощенные интеллектом позитивные успешные ебала, сразу понимаешь — это эффективные менеджеры.

    14

    1
  65. Марк:

    Вопрос, если был зарегистрирован в ДІЇ, для вакцинации, через ЭЦП, стоит сменить электронную подпись(пароль)?

    0

    5
  66. Дон Хуян:

    А хулі на мові держави агресора?

    6

    18
    • мендель юлька:

      Павтаааряю ищёёё рас, у нас свой украинский росиииский, так шо «чому не державною?» уже не актуально, вроде как… наверное… хуй знает… может ище пизды палучю от хозяина за таааакие выскааазывания.

      10

      6
    • А разве в украинском есть слово «хулі»?

      4

      1
  67. Твой рот на оборот:

    Олександр Бортняков — это же тот петушара, который предлагал запретить работу ФОП на экспорт, не так ли?

    11

    0
  68. Зебил:

    Бортняков еще та гнида

    3

    0
  69. Bartolomeus:

    Там был вовлечен бабушкоеб Петя Коренев в разработку мобильных клиентов. Отсюда и куча дыр …. как после ебббли бабушки Юли)

    1

    0
  70. Минцифры:

    Ну что — довыебывались? Гнали что у нас одни ламеры и вайтишники, которые не умеют в безопасность. Может оно и так — только не забывайте что государства не только виртуальное!
    Вполне реальные ребята из СБУ не умеют в ИТ — зато умеют найти Жука и Рыбу и посадить их на бутылки!
    Вот уже 2 дня как они замолчали — и так будет и дальше. Не ждите новых статей на Ебаном.ИТ — эта была последняя!

    3

    5
    • Сотрудник Академии ШАГ с блэкджеком и Дмитрием Корчевским:

      Нихуя.
      Следующая публикация про ресторан.
      Вот увидите.

      1

      0
      • Сотрудник Академии ШАГ с блэкджеком и Дмитрием Корчевским:

        Нихуя.
        про автомобильчик.

        1

        0
    • Хуебот:

      >зато умеют найти Жука и Рыбу и посадить их на бутылки!
      Больше чем там уже есть, им не влезет.

      2

      0
  71. Belizarius:

    Комманда… Это боты по распилу гос. средств)))

    3

    0
  72. Іван:

    Цілком логічно що менш важливу роботу довіряють менш професійним підрядникам. Це ж якийсь сраний лендінгпейдж, кому прийде в голову піклуватись про його кібербезпеку? Звісно заради репутації вони мали би це зробити. Бо інвестувати сотні тисяч доларів в піар своїх проектів, а потім так легко всрати досягнутий результат на одному дефейсі презентаційного проєкту — це треба вміти. Але дефейс сторінки не зробив би для репутаційного удару більше, ніж ця стаття. Так що для репутації МінЦифри різниці немає що ви написали би статтю відразу, не повідомивши їх про вразливість, що ви написали її зараз.

    0

    7
  73. Что такое гит?:

    Наверняка это спецоперация по приманиванию хакеров из ЧК Вагнера, которые скрылись за великим Белорусским впном изза огласки

    2

    2
  74. Вася:

    Я бы их дефейснул. Что бы это говно больше не выплывало.

    4

    0
  75. Alfred:

    А я чтото упустил, и что что он в открытом доступе? Там же не храняться пароли от бд, значить это всего лишь фронтенд который и так можно скачать.

    1

    5
    • zalupa:

      О, а вот и вайтишник пожаловал.

      Можно не только скачать оттуда, но и залить туда.

      2

      0
  76. Сергій:

    Приєднуюся, це тупо розпильна команда, а ніяка не «діджиталізація». Ща вони вам ще вакцин закуплять, зі смітника та втричи дорожче.

    2

    1
  77. Алеся Морозова из Vox Digital LLC::

    Кто этих далбаебов на картинках вообще поставил иправлять??

    4

    0
  78. Выкупил:

    А чем пароль в принципе отличается от токена? И как его можно «ревоукнуть»?

    1

    5
  79. Саша с уралмаша:

    мнение специалиста 1) открытый код лучше закрытого, потому что их ткнули мордой довольно быстро, а мог быть и другой сценарий, российские спецслужбы заплатили бы их девопсу 500 баксов за зипчик с кодом, нашли бы это сами и эксплуатировали бы уязвимость ещё 10 лет пока разрабы были бы в неведении, так что это не минус, 2) кубернетес им для посадочной страницы не нравится, а то, что они сами пишут, что там 20 проектов в работе им ничего не намекает? или для посадочной странички им нужна специальная отдельная инфраструктура? 3) а вот что реальный проеб — пароли и сертификаты в репозитории, ошибка новичка, что неудивительно, на разработку посадочной странички сеньора садить не очень правильно, это скорее свидетельствует не о криворукости программера, а об отсутствии налаженных процессов и кодревью от сеньоров 4) про токены вместо паролей бабушке расскажите, ко всем бд и старым добрым серверам используют пароли и это норм, другое дело, что этих паролей даже у разрабов нет, их берёт из вольта и т.п. программа при запуске в закрытой инфраструктуре.
    короче ебаноеит словило хайп на этой чепухе, куча гупиков отметилась в комментах

    2

    7
  80. Не Порошенко:

    При Порошенкові такої хуйні не було.

    0

    4
  81. DiiaCityHuiSosite:

    Самое большее меня удивляет это то, что Минцифры ссылаются на то, что мол айтишники поддержали эту инициативу. Ребятки, я может открою вам тайну, но в IT-ассоциациях сидят владельцы крупных компаний, цель которых платить меньше ЗП людям и больше денег ложить себе в карман. Разница в том, что у владельцев этих компаний есть офшоры и они как не платили налоги так и не будут платить. По этому не смейте нас, рабочую силу с ними сравнивать. Эти люди никакого реального отношения к IT не имеют, кроме как наживаться на этой сфере. Это тоже самое, если бы вы спрашивали мнение об условиях труда для металлургов и шахтеров у Ахметова. У этих людей абсолютно разное видение и мотивация.

    Есть в нашей стране к сожалению плохая тенденция, когда в какую либо отрасль влазит государство, там всегда идёт развал и деградация. И не удивляйтесь потом, если все начнут уходить в тень либо уезжать из страны в туже Польшу или Литву.

    Займитесь борьбой с коррупцией, реформой судов, таможни, ликвидацией бюрократии и сокращением армии чиновников дармоедов. И никакие Дія Сіті не нужны будут.

    И ещё, Беларусь не самый удачный пример для подражания 😉

    Не допустим цифровой геноцид айтишников. Подписывайте петицию!

    Google -> Петиція «Стоп Дія Сіті» -> Підписуємо

    2

    0

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *