Хакеры

Специалисты компании Postuf обнаружили в приложении «Госуслуги Москвы» для Android опасную уязвимость. Зная лишь номер телефона человека, зарегистрированного в этом сервисе, можно было получить доступ к его личным данным и другой информации, которую он указал.

Воспользовавшись этой уязвимостью, злоумышленник мог узнать об интересующем его человеке следующие сведения:

  • Фамилия, имя, отчество
  • Адрес электронной почты
  • Дата рождения
  • Номер полиса ОМС
  • Номер СНИЛС
  • Список недвижимого имущества
  • Список движимого имущества
  • Данные загранпаспорта
  • Информация о детях, в том числе номера школ, где они учатся
  • Показатели счётчиков ЖКХ

Зная номер полиса ОМС и дату рождения гражданина с помощью системы ЕМИАС можно получить доступ к медицинской информации, в том числе о том, к каким врачам он записывался на приём.

Дыра в «Госуслугах Москвы» также позволяла редактировать внесённую информацию: например, можно было приписать человеку несуществующих детей, имущество, которого у него на самом деле нет, внести некорректные показания счётчиков ЖКХ, добавить или отменить запись к врачам и т. п.  Напрямую использовать полученные сведения для того, чтобы навредить гражданину, нельзя, но злоумышленник мог использовать полученные сведения, например, для того, чтобы выманить платёжные сведения с помощью социальной инженерии. 

В настоящее время уязвимость закрыта, Представитель департамента информационных технологий Москвы отверг то, то она вообще существовала. По его словам, залогиниться в приложение «Госуслуги Москвы» можно только с указанием логина и пароля.




iGuides в Telegram — t.me/igmedia
iGuides в Яндекс.Дзен — zen.yandex.ru/iguides.ru