Пользователи платформы Android могли эксплуатировать серьезную уязвимость в мобильном приложении «Госуслуги Москвы». С ее помощью можно было получить доступ к личному кабинету, персональной информации, а также вносить изменения в данные. Об этом рассказал основатель компании Postuf Бекхан Гендаргеноевский.

По его словам, любой человек мог указать в личном кабинете лишь номер мобильного телефона и получить доступ к информации пользователя, в том числе узнать его год рождения, номер полиса ОМС и СНИЛС, список движимого и недвижимого имущества, сведения о наличии загранпаспорта, о детях, учащихся в школах.

Зная номер полиса ОМС и год рождения можно получить доступ к медицинской информации человека: каких врачей он посещает, какие рецепты ему выписываются. Кроме того, уязвимость давала возможность менять данные, например, внести информацию о несуществующем автомобиле.

Гендаргеноевский считает, что существование уязвимости не могло кардинально навредить кому-либо. Однако обладатель доступа к личной информации мог «потрепать человеку нервы», добавив туда сведения о несуществующих супругах или детях, внести некорректные показания счетчиков по ЖКХ, отменить или перенести записи к врачам.

В департаменте информационных технологий Москвы не подтвердили информацию об уязвимости. Там попытались воспроизвести эксперимент, но получили «ошибку авторизации». Гендаргеноевский говорит, что представитель ДИТ использовал тот же номер мобильного телефона, который Postuf указал в своем отчете. На него не зарегистрирован аккаунт на «Госуслугах». В настоящее время уязвимость устранена.

Руководитель департамента аудита информационной безопасности Infosecurity a Softline Company Сергей Ненахов считает, что злоумышленники все равно бы не смогли эксплуатировать уязвимость, поскольку для большинства значимых операций гражданин должен лично явиться в МФЦ, сообщает РБК.

Ранее ridus.ru рассказывал о том, что ДИТ хочет получить данные москвичей об их фактическом доходе, месте работы, номере карты «Тройка», успеваемости детей в школе.

• Телеграм
• Дзен
• Подписывайтесь на наши каналы и первыми узнавайте о главных новостях и важнейших событиях дня.