Дыра в «Госуслугах Москвы»: о любом можно было узнать что угодно

Александр
Хакеры

Специалисты компании Postuf обнаружили в приложении «Госуслуги Москвы» для Android опасную уязвимость. Зная лишь номер телефона человека, зарегистрированного в этом сервисе, можно было получить доступ к его личным данным и другой информации, которую он указал.

Воспользовавшись этой уязвимостью, злоумышленник мог узнать об интересующем его человеке следующие сведения:

  • Фамилия, имя, отчество
  • Адрес электронной почты
  • Дата рождения
  • Номер полиса ОМС
  • Номер СНИЛС
  • Список недвижимого имущества
  • Список движимого имущества
  • Данные загранпаспорта
  • Информация о детях, в том числе номера школ, где они учатся
  • Показатели счётчиков ЖКХ

Зная номер полиса ОМС и дату рождения гражданина с помощью системы ЕМИАС можно получить доступ к медицинской информации, в том числе о том, к каким врачам он записывался на приём.

Дыра в «Госуслугах Москвы» также позволяла редактировать внесённую информацию: например, можно было приписать человеку несуществующих детей, имущество, которого у него на самом деле нет, внести некорректные показания счётчиков ЖКХ, добавить или отменить запись к врачам и т. п.  Напрямую использовать полученные сведения для того, чтобы навредить гражданину, нельзя, но злоумышленник мог использовать полученные сведения, например, для того, чтобы выманить платёжные сведения с помощью социальной инженерии. 

В настоящее время уязвимость закрыта, Представитель департамента информационных технологий Москвы отверг то, то она вообще существовала. По его словам, залогиниться в приложение «Госуслуги Москвы» можно только с указанием логина и пароля.
-2

Будь в курсе последних новостей из мира гаджетов и технологий

Мы в соцсетях

Комментарии

+4765
Нормалёк, от Ростелекома меньшего и не приходится ожидать, а ещё эти люди собирают и хранят биометрию. Страшно от таких "ответственных и безопасных" технологий и руководящих всем этим делом лиц становится.
21 января 2021 в 18:22
#
+4765
Это точно, многие сюрпризы ещё впереди
21 января 2021 в 23:49
#
fly666666
+494
У счётчиков показания
21 января 2021 в 23:09
#