Российская САПР-платформа «Гербарий» раздает данные своих пользователей всем желающим
На портале отечественного проекта по созданию инженерного ПО «Гербарий» обнаружилась уязвимость, через которую можно ознакомиться с данными зарегистрированных пользователей.Дыра в «Гербарии»
Отечественная платформа инженерного проектирования «Гербарий», хранит персональные данные своих пользователей в открытом доступе. Это обстоятельство было обнаружено редакцией CNews при изучении сайта проекта гербарий.рф.
На момент подготовки этой публикации, ознакомиться с данными пользователей портала «Гербарий» можно было, просмотрев обычными средствами браузера исходный код страницы регистрации нового пользователя.
В коде веб-страницы различимы все запрашиваемые при регистрации сведения о пользователях: полное и краткое наименование организации, ее юридический адрес, телефон, фамилия, имя и отчество пользователя, его электронный адрес и телефон.
29 июня 2016 г. в исходном коде страницы регистраций были видны данные примерно 200 пользователей «Гербария», в большинстве оформленных как юридические лица. Главным образом это перспективные заказчики инженерного ПО, в том числе предприятия оборонной отрасли: ядерный центр «РФЯЦ-ВНИИЭФ», предприятие ПВО «Алмаз-Антей», разработчик подводных лодок «Рубин», разработчик боевых машин «СКБ машиностроения» и др.
Исходный код страницы регистрации нового пользователя на портале «Гербарий». Различимы имя, фамилия, мобильный телефон и адрес пользователя - физического лица и данные пользователей - юрлиц. Нажмите, чтобы увеличить
Меньшая часть пользователей портала предпочла зарегистрироваться в качестве индивидуальных предпринимателей или физических лиц, указав свои имена, мобильные телефоны и домашние адреса. Эти данные также публично доступны.
Перед публикацией этого материала редакция CNews заблаговременно предупредила разработчиков портала «Гербарий» об обнаруженной проблеме с хранением персональных данных пользователей.
Что такое «Гербарий», и зачем нужен
«Гербарий» - это проект, создаваемый с марта 2015 г. по заказу Фонда перспективных исследований. Он представляет собой веб-площадку для разработки отечественных систем автоматизированного проектирования (САПР) различных классов: CAD, CAM, CAE и ECAD в единой среде управления, а также для взаимодействия разработчиков и заказчиков инженерного ПО.
По замыслу создателей, «Гербарий» позволит заказчикам размещать заказы и использовать уже готовые модули инженерного-конструкторского ПО, а разработчикам - получать заказы и продавать готовые решения.
Помимо создания единой САПР-среды задачей «Гербария» стала борьба с засильем зарубежного инженерного ПО. «Ситуацию с инженерным ПО на предприятиях оборонно-промышленного комплекса, в вузах и учреждениях РАН можно назвать критической. Доля импортного программного обеспечения составляет около 80%», – говорил при запуске платформы заместитель генерального директора ФПИ Сергей Гарбук.
Из чего состоит «Гербарий»
«Гербарий» был открыт для публичного доступа в мае 2016 г. О начале бета-тестирования разработчики объявили 21 июня 2016 г. Одновременно с бета-тестированием началась регистрация на портале всех желающих.
«Гербарий» включает в себя две основные среды: интегрированную инженерную программную платформу (ИИПП) и единую среду управления инженерным ПО (ЕСУ). ИИПП предназначена для непосредственной разработки инженерного ПО, а ЕСУ отвечает за взаимодействие его разработчиков и потребителей.
Генеральным подрядчиком «Гербария» выступила компания «Системы управления», привлекшая в качестве соисполнителей «Рексофт» и «Топ-системы».
Как пояснил CNews собеседник в Фонде перспективных исследований, зоны ответственности между ними поделились так: «Топ-системы» разрабатывали инженерное ядро, «Системы управления» отвечали за весь спектр работ по тестированию САПР и инженерной платформы и за координацию работ с заказчиками из оборонной отрасли, а за разработку каталога решений, создание портала для разработчиков и регистрационную часть «Гербария» отвечала компания «Рексофт».