Я нашёл бэкдор в продукте, который сертифицирован по ФСТЭК. И мне за это ничего не было
Автор: security_danil | Создан: 18 Июн 2026 | 👁️ 144
Не буду называть продукт — NDA. Скажу только: это было решение для госсектора, с действующим сертификатом соответствия. Я копал его в рамках обычного пентеста по контракту.
Бэкдор был в библиотеке для работы с JWT. Кто-то три года назад форкнул популярную open-source библиотеку, внёс «оптимизацию» и запушил в приватный репозиторий. В оптимизации была одна строчка, которая при определённых условиях позволяла подделать токен.
Библиотеку не проверяли с тех пор. Сертификат ФСТЭК проверял другие вещи — шифрование, журналирование, разграничение доступа. Но не зависимости.
Я сообщил о находке. Через две недели вышел патч. Через месяц — новый сертификат. Никто не признал проблему публично. Никто не ответил мне «спасибо». Просто закрыли тикет.
Вывод: сертификация — это не про безопасность. Это про наличие бумаги. А безопасность — это про параноиков, которые читают чужой код.
Войдите, чтобы оставить комментарий.
← Вернуться ко всем постам
Комментарии:
Будьте первым, кто оставил комментарий!