Эксперты нашли уязвимость в приложении московских госуслуг
С ее помощью можно было не только получать доступ к данным, но и менять их
В мобильном приложении «Госуслуги Москвы» для платформы Android существовала уязвимость, которая позволяла получить доступ к личному кабинету любого пользователя, указав лишь его номер мобильного телефона. Об этом РБК сообщил основатель компании Postuf Бекхан Гендаргеноевский. Это давало возможность получить всю информацию, которую пользователь указал на сайте столичных сервисов: Ф.И.О., e-mail, год рождения, номер полиса ОМС и СНИЛС, список движимого и недвижимого имущества, сведения о наличии загранпаспорта, о детях, учащихся в школах, и др. Зная номер полиса ОМС и год рождения, можно было через систему ЕМИАС получить доступ к медицинской информации: каких врачей посещает человек, какие рецепты ему выписываются, история прикрепления к поликлиникам и т.д.
Уязвимость давала возможность не просто просматривать, но и менять данные, уточнил эксперт. В качестве подтверждения компания с согласия корреспондента РБК предложила внести в его профиль через «Госуслуги Москвы» информацию о несуществующем автомобиле. Эти данные почти сразу отобразились на его странице. Причем для самого пользователя такие изменения могли остаться незаметными, потому что в системе не предусмотрены уведомления о внесении правок в аккаунте.
Гендаргеноевский затруднился сказать, как давно существовала эта уязвимость. По его мнению, кардинально навредить кому-либо, обладая этой информацией, нельзя. Однако можно «потрепать человеку нервы», добавив в его профиль информацию о супругах или детях, которых у него нет, о транспортном средстве или недвижимости, которыми он не владеет, а также можно было вносить некорректные показания счетчиков по ЖКХ, переносить или отменять записи к врачам и др., отметил основатель Postuf.
«Напрямую украсть деньги, [обладая такой информацией], нельзя, хотя можно использовать знания в социальной инженерии и попытаться выманить у человека данные банковской карты», — указал специалист по компьютерной безопасности. Он также отметил, что, поскольку в системе нет ограничений на количество запросов доступа к аккаунтам, запрашивая так называемые красивые номера, можно было получить информацию «о ряде известных личностей, которые, как правило, обладают подобными номерами».
