Российская САПР-платформа «Гербарий» раздает данные своих пользователей всем желающим

Безопасность Администратору Стратегия безопасности Пользователю Интернет Веб-сервисы Интеграция Бизнес-приложения ИТ в госсекторе
мобильная версия
, Текст: Владислав Мещеряков
На портале отечественного проекта по созданию инженерного ПО «Гербарий» обнаружилась уязвимость, через которую можно ознакомиться с данными зарегистрированных пользователей.

Дыра в «Гербарии»

Отечественная платформа инженерного проектирования «Гербарий», хранит персональные данные своих пользователей в открытом доступе. Это обстоятельство было обнаружено редакцией CNews при изучении сайта проекта гербарий.рф.

На момент подготовки этой публикации, ознакомиться с данными пользователей портала «Гербарий» можно было, просмотрев обычными средствами браузера исходный код страницы регистрации нового пользователя.

В коде веб-страницы различимы все запрашиваемые при регистрации сведения о пользователях: полное и краткое наименование организации, ее юридический адрес, телефон, фамилия, имя и отчество пользователя, его электронный адрес и телефон.

29 июня 2016 г. в исходном коде страницы регистраций были видны данные примерно 200 пользователей «Гербария», в большинстве оформленных как юридические лица. Главным образом это перспективные заказчики инженерного ПО, в том числе предприятия оборонной отрасли: ядерный центр «РФЯЦ-ВНИИЭФ», предприятие ПВО «Алмаз-Антей», разработчик подводных лодок «Рубин», разработчик боевых машин «СКБ машиностроения» и др.

Исходный код страницы регистрации нового пользователя на портале «Гербарий». Различимы имя, фамилия, мобильный телефон и адрес пользователя - физического лица и данные пользователей - юрлиц. Нажмите, чтобы увеличить

Меньшая часть пользователей портала предпочла зарегистрироваться в качестве индивидуальных предпринимателей или физических лиц, указав свои имена, мобильные телефоны и домашние адреса. Эти данные также публично доступны.

Перед публикацией этого материала редакция CNews заблаговременно предупредила разработчиков портала «Гербарий» об обнаруженной проблеме с хранением персональных данных пользователей.

Что такое «Гербарий», и зачем нужен

«Гербарий» - это проект, создаваемый с марта 2015 г. по заказу Фонда перспективных исследований. Он представляет собой веб-площадку для разработки отечественных систем автоматизированного проектирования (САПР) различных классов: CAD, CAM, CAE и ECAD в единой среде управления, а также для взаимодействия разработчиков и заказчиков инженерного ПО.

По замыслу создателей, «Гербарий» позволит заказчикам размещать заказы и использовать уже готовые модули инженерного-конструкторского ПО, а разработчикам - получать заказы и продавать готовые решения.

Помимо создания единой САПР-среды задачей «Гербария» стала борьба с засильем зарубежного инженерного ПО. «Ситуацию с инженерным ПО на предприятиях оборонно-промышленного комплекса, в вузах и учреждениях РАН можно назвать критической. Доля импортного программного обеспечения составляет около 80%», – говорил при запуске платформы заместитель генерального директора ФПИ Сергей Гарбук.

Из чего состоит «Гербарий»

«Гербарий» был открыт для публичного доступа в мае 2016 г. О начале бета-тестирования разработчики объявили 21 июня 2016 г. Одновременно с бета-тестированием началась регистрация на портале всех желающих.

«Гербарий» включает в себя две основные среды: интегрированную инженерную программную платформу (ИИПП) и единую среду управления инженерным ПО (ЕСУ). ИИПП предназначена для непосредственной разработки инженерного ПО, а ЕСУ отвечает за взаимодействие его разработчиков и потребителей.

Генеральным подрядчиком «Гербария» выступила компания «Системы управления», привлекшая в качестве соисполнителей «Рексофт» и «Топ-системы».

Как пояснил CNews собеседник в Фонде перспективных исследований, зоны ответственности между ними поделились так: «Топ-системы» разрабатывали инженерное ядро, «Системы управления» отвечали за весь спектр работ по тестированию САПР и инженерной платформы и за координацию работ с заказчиками из оборонной отрасли, а за разработку каталога решений, создание портала для разработчиков и регистрационную часть «Гербария» отвечала компания «Рексофт».