Перейти к основному контенту
Технологии и медиа ,  
0 
Эксклюзив

Эксперты нашли уязвимость в приложении московских госуслуг

С ее помощью можно было не только получать доступ к данным, но и менять их
Специалисты компании Postuf сообщили об уязвимости в приложении столичных госуслуг, с помощью которой можно было получить доступ к аккаунту, зная только мобильный номер пользователя. К моменту публикации «дыра» уже была закрыта
Фото: Сергей Фадеичев / ТАСС
Фото: Сергей Фадеичев / ТАСС

В мобильном приложении «Госуслуги Москвы» для платформы Android существовала уязвимость, которая позволяла получить доступ к личному кабинету любого пользователя, указав лишь его номер мобильного телефона. Об этом РБК сообщил основатель компании Postuf Бекхан Гендаргеноевский. Это давало возможность получить всю информацию, которую пользователь указал на сайте столичных сервисов: Ф.И.О., e-mail, год рождения, номер полиса ОМС и СНИЛС, список движимого и недвижимого имущества, сведения о наличии загранпаспорта, о детях, учащихся в школах, и др. Зная номер полиса ОМС и год рождения, можно было через систему ЕМИАС получить доступ к медицинской информации: каких врачей посещает человек, какие рецепты ему выписываются, история прикрепления к поликлиникам и т.д.

Уязвимость давала возможность не просто просматривать, но и менять данные, уточнил эксперт. В качестве подтверждения компания с согласия корреспондента РБК предложила внести в его профиль через «Госуслуги Москвы» информацию о несуществующем автомобиле. Эти данные почти сразу отобразились на его странице. Причем для самого пользователя такие изменения могли остаться незаметными, потому что в системе не предусмотрены уведомления о внесении правок в аккаунте.

Гендаргеноевский затруднился сказать, как давно существовала эта уязвимость. По его мнению, кардинально навредить кому-либо, обладая этой информацией, нельзя. Однако можно «потрепать человеку нервы», добавив в его профиль информацию о супругах или детях, которых у него нет, о транспортном средстве или недвижимости, которыми он не владеет, а также можно было вносить некорректные показания счетчиков по ЖКХ, переносить или отменять записи к врачам и др., отметил основатель Postuf.

Штрафы за разглашение персональных данных предложили увеличить в 10 раз
Политика
Фото:Сергей Бобылев / ТАСС

«Напрямую украсть деньги, [обладая такой информацией], нельзя, хотя можно использовать знания в социальной инженерии и попытаться выманить у человека данные банковской карты», — указал специалист по компьютерной безопасности. Он также отметил, что, поскольку в системе нет ограничений на количество запросов доступа к аккаунтам, запрашивая так называемые красивые номера, можно было получить информацию «о ряде известных личностей, которые, как правило, обладают подобными номерами».

Представитель департамента информационных технологий Москвы (разработчик портала mos.ru) в разговоре с РБК не подтвердил информацию об уязвимости, подчеркнув, что авторизация в мобильном приложении «Госуслуги Москвы» без указания пароля невозможна. В департаменте попытались воспроизвести эксперимент специалистов компании и РБК, но от системы была получена «ошибка авторизации» (представитель департамента в качестве доказательства сопроводил свой ответ для РБК скриншотом). Но представитель Postuf обратил внимание на то, что, судя по скриншоту, при проверке уязвимости ДИТ использовал тот же номер телефона, который Postuf указал в своем техническом отчете и на который не был зарегистрирован аккаунт на «Госуслугах».

После отправки запроса в ДИТ уязвимость была устранена, отметил Гендаргеноевский.

Программа развития РБК Pro Освойте 52 навыка за год
Программа развития — удобный инструмент непрерывного обучения новым навыкам для успешной карьеры

Что известно о Postuf

Гендаргеноевский сообщил, что Postuf была создана в 2017 году и занимается проектами, связанными со сбором данных из открытых источников. Как именно компания использует их, ее основатель не пояснил. Он отметил, что Postuf специально искала утечку, но ее сотрудники являются «белыми хакерами», то есть не используют найденную информацию во вред.

По данным СПАРК, ООО «Постаф» было зарегистрировано в 2020 году. Его единственный владелец — Суламбек Айдаев. РБК обратился к компании по указанным на ее сайте контактам, ответивший на запрос сотрудник подтвердил, что Гендаргеноевский является единственным основателем Postuf.

В середине января представитель Postuf заявил об обнаружении уязвимости в приложении ретейлера «Лента». Как утверждали в компании, она позволяла получать доступ к аккаунтам пользователей и управлять ими, но представитель «Ленты» проблему отрицал.

Что говорят эксперты

Руководитель департамента аудита информационной безопасности Infosecurity a Softline Company Сергей Ненахов сообщил, что специалистам компании не удалось воспроизвести уязвимость, описанную в отчете Postuf. Он предположил, что либо она уже была исправлена, либо для ее использования требовалась дополнительная информация, не указанная специалистами. По его мнению, если уязвимость действительно существовала и злоумышленники успели ее использовать, указанные в личном кабинете персональные данные было бы сложно применить для каких-то крупных мошеннических операций. «Большинство значимых операций должно сопровождаться личным визитом в МФЦ, а платежной информации в личном кабинете «Госуслуг» не содержится», — указал Ненахов. Он рекомендует пользователям настроить в своих аккаунтах двухфакторную идентификацию, «которая защитит от возможного несанкционированного доступа к личному кабинету». Эксперт по информационной безопасности Алексей Лукацкий также считает, что злоумышленники могли получить доступ к большому объему персональных данных, но нанести серьезный финансовый ущерб с помощью доступа к аккаунту на «Госуслугах» не получилось бы.

В Роскачестве дали советы по защите от утечки личных данных
Общество

Представители Group-IB, «Лаборатории Касперского», Positive Technologies и других крупных компаний, занимающихся кибербезопасностью, отказались комментировать информацию, предоставленную Postuf. Собеседник РБК в одной из них указал, что «этичные хакеры и представители компаний, занимающихся информбезопасностью, найдя уязвимость, сначала сообщают о ней владельцу сайта, на котором она обнаружена, и только после ее ликвидации делают историю публичной».

Гендаргеноевский в ответ на вопрос, почему компания напрямую не обратилась к разработчикам mos.ru, пояснил, что в таком случае они бы просто закрыли уязвимость и факт ее существования нельзя было бы доказать.

По данным официального сайта мэрии, в 2020 году у мобильного приложения «Госуслуги Москвы» было 2,3 млн пользователей, за год этот показатель вырос более чем на 50%. Самыми популярными сервисами в прошлом году были передача показаний счетчиков электроэнергии и воды, оплата коммунальных услуг и просмотр электронных квитанций, говорится на портале.

Авторы
Теги
Прямой эфир
Ошибка воспроизведения видео. Пожалуйста, обновите ваш браузер.

  

Лента новостей
Курс евро на 29 марта
EUR ЦБ: 99,71 (-0,56)
Инвестиции, 16:51
Курс доллара на 29 марта
USD ЦБ: 92,26 (-0,33)
Инвестиции, 16:51
В НХЛ заявили, что вратарь Федотов сможет продолжить сезон за океаном Спорт, 20:56
Десять вариантов квартир с двумя санузлами для большой семьи РБК и ПИК, 20:55
Насколько Варшава и Киев приблизились к разрешению пограничного кризиса Политика, 20:52
Судья турнира в «Крокусе» подала в суд из-за сообщений о запертых детях Общество, 20:50
Девушка с собакой нелегально проникла на место поисков в «Крокусе» Общество, 20:44
Альфа-Банк дал прогноз по дивидендам российских компаний в апреле Инвестиции, 20:43
У FTX остались токены Solana на $7,5 млрд. Кто на них претендует Крипто, 20:21
Здоровый сон: как легче засыпать и просыпаться
Интенсив РБК Pro поможет улучшить качество сна и восстановить режим
Подробнее
Telecinco узнал о «вечеринке до утра» после выхода Дани Алвеса под залог Спорт, 20:20
В Днепропетровской области сообщили о повреждении объекта инфраструктуры Политика, 20:20
«Яндекс» до 30 апреля закроет первый этап сделки по продаже активов Инвестиции, 20:16
Минфин возобновил закупки алмазов у АЛРОСА Бизнес, 20:10
«Ваньки», «голубчики» и «лихачи»: история такси и извоза РБК и Яндекс Go, 20:04
ФАС допустила повышение норматива продаж топлива на срочном рынке Экономика, 19:59
Совет НАТО — Украина провел внеочередную встречу Политика, 19:52