В приложении «Госуслуги Москвы» обнаружили опасную уязвимость
Фото: Киселев Сергей / Агентство «Москва»
Специалисты компании Postuf сообщили об уязвимости в приложении «Госуслуги Москвы». С ее помощью можно было получить доступ к аккаунту, зная только мобильный номер пользователя.
Основатель компании Postuf Бекхан Гендаргеноевский рассказал РБК, что обнаруженная уязвимость позволяла получить всю информацию, которую пользователь указал на сайте столичных сервисов: имя и дата рождения, адрес почты, номер полиса ОМС и СНИЛС, список движимого и недвижимого имущества, сведения о наличии загранпаспорта, о детях, учащихся в школах. С помощью номера полиса злоумышленники могли также получить доступ к медицинской информации человека через систему ЕМИАС.
Кроме того, уязвимость давала возможность не просто просматривать, но и менять данные, добавлять несуществующую информацию. При этом для самого пользователя изменения могли остаться незаметными.
Гендаргеноевский отметил, что с помощью уязвимости украсть напрямую деньги не представляется возможным. Однако злоумышленники могли применить знания в социальной инженерии и попытаться выманить у человека данные банковской карты. Эксперт по информационной безопасности Алексей Лукацкий отметил, что уязвимость могла позволить мошенникам получить доступ к большому объему персональных данных.
Представитель департамента информационных технологий Москвы (разработчик портала mos.ru) подчеркнул, что авторизация в мобильном приложении «Госуслуги Москвы» без указания пароля невозможна. Гендаргеноевский отметил, что после отправки запроса издания в департамент уязвимость устранили.
По данным официального сайта мэрии, в 2020 году у мобильного приложения «Госуслуги Москвы» было 2,3 миллиона пользователей. За год показатель вырос более чем на 50%.
Postuf основали в 2017 году. Компания занимается проектами, связанными со сбором данных из открытых источников. По данным СПАРК, ООО «Постаф» было зарегистрировано в 2020 году. Его единственный владелец — Суламбек Айдаев. Ее основателем является Гендаргеноевский. По его словам, сотрудники компании— «белые хакеры», которые не используют найденную информацию во вред.
Подписывайтесь на нас:
