Вчера вечером в своем твиттере специалист по кибербезопасности и основатель ИБ-компании Vee Security Александр Литреев рассказал о том, что ему удалось проникнуть в админку официального сайта для публикации законодательных актов pravo.gov.ru, причем сделал он это без использования каких-либо технологий, просто применив для аутентификации стандартную пару логин/пароль admin/admin.
Данная пара является не просто "словарной", то есть содержащейся в специальных словарях, предназначенных для взлома методом перебора по логину и паролю, а выставляемой по умолчанию при первоначальной настройке информационных систем и устройств с веб-интерфейсом, таких как роутеры и т.д. Отметим, что pravo.gov.ru был создан в 2010 году и является официальной площадкой для публикации законов с 2011 года. Таким образом, можно предположить, что несложная пара логин/пароль, закрывавшая вход в его админку, не менялась уже более 10 лет.
Александр Литреев также заявил, что данная проблема далеко не единственная в государственном ИТ и ещё как минимум у четырех федеральных служб и органов существует такая же проблема. Отметим, что для защиты от подобного взлома есть немало технологий, от двухфакторной аутентификации до регулярной смены пароля.
Впрочем, справедливости ради следует отметить, что слабый пароль, стоящий на учетной записи администратора критически важных информационных систем, является бичом современной информационной безопасности не только в России. Так, например, в США кодом запуска ядерных ракет на протяжении 20 лет являлась комбинация 00000000.