Российская САПР-платформа «Гербарий» раздает данные своих пользователей всем желающим

Дыра в «Гербарии» Отечественная платформа инженерного проектирования «Гербарий», хранит персональные данные своих пользователей в открытом доступе. Это обстоятельство было обнаружено редакцией CNews при изучении сайта проекта гербарий.рф . На момент подготовки этой публикации, ознакомиться с данными пользователей портала «Гербарий» можно было, просмотрев обычными средствами браузера исходный код страницы регистрации нового пользователя. В коде веб-страницы различимы все запрашиваемые при регистрации сведения о пользователях: полное и краткое наименование организации, ее юридический адрес, телефон, фамилия, имя и отчество пользователя, его электронный адрес и телефон. 29 июня 2016 г. в исходном коде страницы регистраций были видны данные примерно 200 пользователей «Гербария», в большинстве оформленных как юридические лица. Главным образом это перспективные заказчики инженерного ПО, в том числе предприятия оборонной отрасли: ядерный центр «РФЯЦ-ВНИИЭФ», предприятие ПВО «Алмаз-Антей», разработчик подводных лодок «Рубин», разработчик боевых машин «СКБ машиностроения» и др.

Исходный код страницы регистрации нового пользователя на портале «Гербарий». Различимы фамилия, имя, отчество, мобильный телефон и адрес пользователя - физического лица и данные пользователей - юрлиц. Нажмите, чтобы увеличить Меньшая часть пользователей предпочла зарегистрироваться в качестве индивидуальных предпринимателей или физических лиц, указав свои имена, мобильные телефоны и домашние адреса. Эти данные также публично доступны. Перед публикацией этого материала редакция CNews заблаговременно предупредила разработчиков портала «Гербарий» об обнаруженной проблеме с хранением персональных данных пользователей. Что такое «Гербарий», и зачем нужен «Гербарий» - это проект, создаваемый с марта 2015 г. по заказу Фонда перспективных исследований. Он представляет собой веб-площадку для разработки отечественных систем автоматизированного проектирования (САПР) различных классов: CAD, CAM, CAE и ECAD в единой среде управления, а также для взаимодействия разработчиков и заказчиков инженерного ПО. По замыслу создателей, «Гербарий» позволит заказчикам размещать заказы и использовать уже готовые модули инженерного-конструкторского ПО, а разработчикам - получать заказы и продавать готовые решения. Помимо создания единой САПР-среды задачей «Гербария» стала борьба с засильем зарубежного инженерного ПО. «Ситуацию с инженерным ПО на предприятиях оборонно-промышленного комплекса, в вузах и учреждениях РАН можно назвать критической. Доля импортного программного обеспечения составляет около 80%», – говорил при запуске платформы заместитель генерального директора ФПИ Сергей Гарбук. Из чего состоит «Гербарий» «Гербарий» был открыт для публичного доступа в мае 2016 г. О начале бета-тестирования разработчики объявили 21 июня 2016 г. Одновременно с бета-тестированием началась регистрация на портале всех желающих. «Гербарий» включает в себя две основные среды: интегрированную инженерную программную платформу (ИИПП) и единую среду управления инженерным ПО (ЕСУ). ИИПП предназначена для непосредственной разработки инженерного ПО, а ЕСУ отвечает за взаимодействие его разработчиков и потребителей. Генеральным подрядчиком «Гербария» выступила компания «Системы управления», привлекшая в качестве соисполнителей «Рексофт» и «Топ-системы». Как пояснил CNews собеседник в Фонде перспективных исследований, зоны ответственности между ними поделились так: «Топ-системы» разрабатывали инженерное ядро, «Системы управления» отвечали за весь спектр работ по тестированию САПР и инженерной платформы и за координацию работ с заказчиками из оборонной отрасли, а за разработку каталога решений, создание портала для разработчиков и регистрационную часть «Гербария» отвечала компания «Рексофт». Ссылка на источник