Вплоть до четверга, 16 января, любой желающий мог беспрепятственно получить любую информацию о каждом человеке, который залил свои данные на портал Сareer.gov.ua. В открытом доступе и без какой-либо защиты оказалась все персональная информация соискателей.
По некоторым оценкам, начиная с 2018-го года на государственный сайт украинцы подали более 50 тысяч анкетных данных.
Впрочем, настоящая цифра может быть куда большей. Сама суть портала заключается в том, что люди в поисках работы на госслужбе могут подать свои анкеты, включая фотографии паспортов, ИНН, адресов и номеров телефонов, чтобы эту информацию могли обрабатывать государственные эйчары.
Работает вся система в существующем виде с 2018-го года, когда благодаря проекту Евросоюза "Поддержка стратегических коммуникаций и повышение осведомленности о реформе государственного управления в Украине", неизвестные айтишники создали "новую платформу" с огромной дырой в безопасности.
Оказывается, любой человек, который зарегистрировался на сайте и ввел свои персональные данные, мог просто менять цифру в URL, чтобы заходить на странички других людей. Таким образом, вся база соискателей с их личной информацией была фактически опубликована государством.
О вопиющей неуязвимости написал на своей странице в Facebook пресс-секретарь Ukrainian Cyber Alliance Шон Таунсенд:
"Персональные данные, GDPR, евроинтеграция, гармонизация законодательства ... Просто можно зайти на сайт государственных вакансий и скачать все паспорта и анкеты. Без СМС и регистрации #forcedbrowsing".
После того, как из-за этого закшвара разгорелся скандал, правительственные сисдамины выключали сайт. Сумели ли они починить дыру, неизвестно.