Британское Управление по бюджетной ответственности (Office for Budget Responsibility, OBR) заявило, что утечка государственного бюджетного доклада Economic and Fiscal Outlook (EFO) произошла из-за ошибочной настройки сайта на платформе WordPress, пишет The Register. В отчёте подчёркивается, что WordPress может быть непрост в конфигурации, и в нём легко совершить оплошность.
Конкретной причиной раскрытия данных стало неверное понимание функционала плагина Download Monitor для WordPress и некорректная конфигурация сервера. В совокупности это позволило получить прямой доступ к файлу методом подбора адреса. Плагин создаёт простые и легко предсказуемые ссылки на файлы, что само по себе не критично. Однако второй ошибкой, приведшей к инциденту, стало отсутствие на хостинге WP Engine блокировки прямого обращения к файлам. В итоге документ до его официального обнародования смогли получить не только уполномоченные лица, но и третьи стороны.
26 ноября, незадолго после 06:00, с семи уникальных IP-адресов были предприняты десятки попыток найти отчёт через прямые URL. Вскоре после загрузки файла между 11:30 и 11:35 по местному времени один из этих адресов успешно подобрал верную ссылку и загрузил документ. Менее чем за час попытки скачать файл осуществлялись уже с 32 различных IP-адресов. Удаление документа не исправило ситуацию, так как к тому моменту он уже попал в архив Internet Archive.
Источник изображения: Luke Stackpoole/unsplash.com
Канцлер Казначейства начал своё выступление по докладу EFO в 12:34 того же дня, признав, что информация уже просочилась в интернет. Обычно сайт OBR обслуживается силами собственных сотрудников, но примерно на три дня в году, включая период публикации отчёта, для работы с повышенной нагрузкой привлекаются внешние разработчики. Примечательно, что схожий инцидент уже происходил в марте 2025 года. Тогда доступ к документу с одного из IP-адресов был получен примерно за полчаса до официального релиза.
По итогам проверки предложено осуществить тщательную цифровую проверку материалов EFO за прошедшие два года, а также пересмотреть постановление 2013 года, разрешившее OBR иметь независимый веб-сайт за пределами доменной зоны .gov.uk. Великобритания отличается весьма жёсткой позицией в сфере защиты информации. Например, в правительстве страны всерьёз рассматривался проект по физическому уничтожению лондонского дата-центра, содержавшего конфиденциальные данные и по ошибке проданного китайской фирме, до того как можно было бы обеспечить их сохранность другими методами.