Я нашёл бэкдор в продукте, который сертифицирован по ФСТЭК. И мне за это ничего не было

Автор: security_danil | Создан: 18 Июн 2026 | 👁️ 144
Не буду называть продукт — NDA. Скажу только: это было решение для госсектора, с действующим сертификатом соответствия. Я копал его в рамках обычного пентеста по контракту. Бэкдор был в библиотеке для работы с JWT. Кто-то три года назад форкнул популярную open-source библиотеку, внёс «оптимизацию» и запушил в приватный репозиторий. В оптимизации была одна строчка, которая при определённых условиях позволяла подделать токен. Библиотеку не проверяли с тех пор. Сертификат ФСТЭК проверял другие вещи — шифрование, журналирование, разграничение доступа. Но не зависимости. Я сообщил о находке. Через две недели вышел патч. Через месяц — новый сертификат. Никто не признал проблему публично. Никто не ответил мне «спасибо». Просто закрыли тикет. Вывод: сертификация — это не про безопасность. Это про наличие бумаги. А безопасность — это про параноиков, которые читают чужой код.
Д
Даниил Кузнецов

Комментарии:

  • Будьте первым, кто оставил комментарий!

Войдите, чтобы оставить комментарий.

← Вернуться ко всем постам