Свежие новости
Актуальное за неделю
21 янв 15:46Технологии
Эксперты нашли уязвимость в приложении «Госуслуги Москвы»
Сотрудники компании Postuf нашли уязвимое место в мобильном приложении "Госуслуги Москвы". Это позволяло узнать личные данные пользователей сайта столичных сервисов. На данный момент проблема устранена.
Эксперты Postuf выявили "дыру" в мобильном приложении "Госуслуги Москвы". Любой человек, введя номер другого абонента, мог узнать его личную информацию. Могли стать известными такие данные, как: фамилия, имя и отчество, адрес электронной почты, год рождения, номер страхового полиса обязательного медицинского страхования, страховой номер индивидуального лицевого счета, сведение о движимом и недвижимом имуществе, о наличие загранпаспорта, а также о детях, учащихся в школах.
Обладая информацией о номере полиса обязательного медицинского страхования можно узнать о том, какие поликлиники и каких врачей посещает человек, какие медицинские рецепты ему выписывают.
Бекхан Гендаргеноевский, который является основателем компании Postuf, отметил, что помимо того, что можно было получить доступ к таким данным, была возможность вносить изменения в них. Однако, как отметили эксперт, получить доступ к денежным счетам таким способом у злоумышленников не было. Он подчеркнул, что самое неприятное, что могло произойти с пользователем – это изменение его данных.
Например, можно было добавить в данные несуществующих детей, а также внести данные о несуществующей недвижимости. При этом сам пользователь о таких изменениях не смог бы догадаться, так как в системе отсутствует функция оповещения при внесении изменений в личные данные.
В качестве примера специалисты компании Postuf с разрешения журналиста РБК, внесли в его профиль сведения об автомобиле, владельцем которого он не является. Фальшивые данные тут же отобразились на странице корреспондента.
Однако Представитель департамента информационных технологий Москвы не подтвердил данную информацию и сообщил о том, что войти на сайт "Госуслуг Москвы" невозможно без введения пароля. Работники департамента повторили эксперимент с изменением данных пользователя, который провела компания Postuf, но система при входе выдала сообщение: "ошибка авторизации". Эксперты ДИТ отправили результаты своего эксперимента специалистам Postuf, сделав скриншот попытки входа в систему. На это работники Postuf ответили, что ДИТ использовали номер, который не зарегистрирован на сайте столичных сервисов.
Как отметил Бекхан Гендаргеноевский, после того как сотрудники компании отправили отчет ДИТ, проблема была устранена.
Источник: www.rbc.ru
Эксперты Postuf выявили "дыру" в мобильном приложении "Госуслуги Москвы". Любой человек, введя номер другого абонента, мог узнать его личную информацию. Могли стать известными такие данные, как: фамилия, имя и отчество, адрес электронной почты, год рождения, номер страхового полиса обязательного медицинского страхования, страховой номер индивидуального лицевого счета, сведение о движимом и недвижимом имуществе, о наличие загранпаспорта, а также о детях, учащихся в школах.
Обладая информацией о номере полиса обязательного медицинского страхования можно узнать о том, какие поликлиники и каких врачей посещает человек, какие медицинские рецепты ему выписывают.
Бекхан Гендаргеноевский, который является основателем компании Postuf, отметил, что помимо того, что можно было получить доступ к таким данным, была возможность вносить изменения в них. Однако, как отметили эксперт, получить доступ к денежным счетам таким способом у злоумышленников не было. Он подчеркнул, что самое неприятное, что могло произойти с пользователем – это изменение его данных.
Например, можно было добавить в данные несуществующих детей, а также внести данные о несуществующей недвижимости. При этом сам пользователь о таких изменениях не смог бы догадаться, так как в системе отсутствует функция оповещения при внесении изменений в личные данные.
В качестве примера специалисты компании Postuf с разрешения журналиста РБК, внесли в его профиль сведения об автомобиле, владельцем которого он не является. Фальшивые данные тут же отобразились на странице корреспондента.
Однако Представитель департамента информационных технологий Москвы не подтвердил данную информацию и сообщил о том, что войти на сайт "Госуслуг Москвы" невозможно без введения пароля. Работники департамента повторили эксперимент с изменением данных пользователя, который провела компания Postuf, но система при входе выдала сообщение: "ошибка авторизации". Эксперты ДИТ отправили результаты своего эксперимента специалистам Postuf, сделав скриншот попытки входа в систему. На это работники Postuf ответили, что ДИТ использовали номер, который не зарегистрирован на сайте столичных сервисов.
Как отметил Бекхан Гендаргеноевский, после того как сотрудники компании отправили отчет ДИТ, проблема была устранена.
Автор: Павлова Ольга
Читайте также
Добавить комментарий
Рудой Андрей Владимирович, Общество с ограниченной ответственностью «Три «Ч», Лада, Общество с ограниченной ответственностью «Данное сообщение», признаны в РФ иностранными агентами.
Актуальное за месяц