В мобильном приложении «Госуслуги Москвы» нашли серьезную уязвимость

0

Пользователи перроны Android могли эксплуатировать серьезную уязвимость в мобильном приложении «Госуслуги Москвы». С ее помощью можно было получить доступ к собственному кабинету, персональной информации, а также вносить изменения в данные. Об этом рассказал основатель компании Postuf Бекхан Гендаргеноевский.



По его словам, любой человек мог показать в личном кабинете лишь номер мобильного телефона и получить доступ к информации пользователя, в том числе узнать его год рождения, номер полиса ОМС и СНИЛС, список движимого и недвижимого собственности, сведения о наличии загранпаспорта, о детях, учащихся в школах.




Зная номер полиса ОМС и год рождения можно получить доступ к медицинской информации человека: каких докторов он посещает, какие рецепты ему выписываются. Кроме того, уязвимость давала возможность менять данные, например, привнести информацию о несуществующем автомобиле.




Гендаргеноевский считает, что существование уязвимости не могло кардинально навредить кому-либо. Однако обладатель доступа к собственной информации мог «потрепать человеку нервы», добавив туда сведения о несуществующих супругах или детях, внести некорректные свидетельства счетчиков по ЖКХ, отменить или перенести записи к врачам.




В департаменте информационных технологий Москвы не подтвердили информацию об уязвимости. Там попытались воспроизвести эксперимент, но получили «промах авторизации». Гендаргеноевский говорит, что представитель ДИТ использовал тот же номер мобильного телефона, который Postuf указал в своем отчете. На него не зарегистрирован аккаунт на «Госуслугах». В сегодняшнее время уязвимость устранена.




Руководитель департамента аудита информационной безопасности Infosecurity a Softline Company Сергей Ненахов находит, что злоумышленники все равно бы не смогли эксплуатировать уязвимость, поскольку для большинства значимых операций гражданин должен лично прийти в МФЦ, сообщает РБК.




Ранее ridus.ru рассказывал о том, что ДИТ хочет получить данные москвичей об их фактическом доходе, месте работы, номере карты «Тройка», успеваемости детей в школе.

Посетите магазины партнеров:

Оставить комментарий

Ваш электронный адрес не будет опубликован. Обязательные поля помечены *