Управление бюджетной ответственности Великобритании (Office for Budget Responsibility, OBR) обвинило в утечке государственного бюджетного отчёта Economic and Fiscal Outlook (EFO) ошибки в конфигурации сайта на движке WordPress, сообщает The Register. В докладе отмечается, что WordPress может быть сложен в настройке, а при работе с ним легко допустить ошибки.
Фактически данные были раскрыты из-за непонимания работы плагина Download Monitor для WordPress и неверной настройки сервера, что вкупе позволило получить прямой доступ к файлу путём подбора URL. Плагин формирует простые и предсказуемые ссылки на файлы, что само по себе не является большой проблемой. Однако отсутствие на хостинге WP Engine блокировки прямого доступа к файлам стало второй ошибкой, приведшей к утечке. В результате документ до официальной публикации получили не только госслужащие, но и посторонние.
26 ноября, чуть позже 06:00 некие пользователи начали предпринимать десятки попыток найти отчёт по прямым URL с семи уникальных IP-адресов. Вскоре после загрузки отчёта в 11:30–11:35 по местному времени один из этих IP, наконец, подобрал нужный URL и скачал файл. Менее чем за час файл пытались получить с 32 различных IP-адресов. Удаление файла не помогло, поскольку он уже оказался в Internet Archive.
Источник изображения: Luke Stackpoole/unsplash.com
Канцлер Казначейства начал доклад по EFO в 12:34 того же дня, признав, что информация уже утекла в Сеть. Обычно сотрудники OBR сами поддерживают свой сайт, но примерно на три дня в году, в том числе во время публикации отчёта, из-за пиковых нагрузок к ресурсам допускаются сторонние разработчики. Примечательно, что нечто подобное уже случилось в марте 2025 года. Тогда один из IP-адресов получил доступ к документу приблизительно за полчаса до официальной публикации.
В результате расследования рекомендовано провести детальный цифровой аудит публикаций EFO за два последних года, а также пересмотреть решение от 2013 года, давшее право OBR вести собственный сайт вне доменной зоны .gov.uk. Британия известна довольно радикально настроениями в вопросе защиты данных. Так, в британском правительстве всерьёз обсуждали план физического уничтожения лондонского ЦОД, где хранились секретные сведения и который по недосмотру был продан китайской компании, до того, как хранившуюся там информацию можно будет защитить иным способом.
Источник: servernews.ru