На сайте российского антивируса «Доктор Веб» пару часов назад появилось сообщение:
На портале государственных услуг Российской Федерации (gosuslugi.ru) специалисты компании «Доктор Веб» обнаружили внедрённый неизвестными потенциально вредоносный код. В связи с отсутствием реакции со стороны администрации сайта gosuslugi.ru мы вынуждены прибегнуть к публичному информированию об угрозе.
Это очень и очень серьёзно. А что особенно вызывает беспокойство, так это отсутствие какой-либо видимой реакции, со стороны админов портала госуслуг. Между тем, как говорится в сообщении, после обращения вебовцев и до сих пор баг не устранён.
Если же говорить по сути бага, то она в следующем: при открытия портала «Госуслуги» на всяком компьютере вшитый в код сайта вирус подгружает плавающий контейнер айфрейм, который начинает соединяться с посторонними сайтами — в данном случае, не менее, чем с пятнадцатью! Замечу, что контейнер, создаваемый тегом <iframe>, может быть невидимым пользователю, и при этом, в зависимости от целей злоумышленника способен собирать информацию любого содержания или загружать файлы на компьютер.
Очень и очень серьёзная опасность! Очень! Пароли, данные банковских карт, паспортные данные, почтовые ящики, информация на жёстком диске компа, вплоть до имени пользователя и пароля системы — всё это доступно будет заинтересованному лицу, если вы хотя бы раз зашли на портал «Госуслуги»!
Такого косяка я и не припомню.
Кстати, вебовцы опубликовали имена двух доменов, на которые отправлял запросы плавающий контейнер. Я посмотрел их установочные данные. Оба зарегистрированы хостом REGRU, данные владельца скрыты, один не обслуживается. Однако, достаточно оплатить 900 рублей, чтобы купить домен, потом несколько больше заплатить за хостинг, залить сайт — и собирать данные на граждан России. Админы госуслуг не шевелятся, так что вполне возможно, кто-то ещё, кроме прежнего мошенника, уже делает шаги в этом направлении.
Ссылка — https://igorazerin.com/blog/?p=1771