ДИТ Москвы: сервис по проверке и редактированию данных для цифровых пропусков по Москве был атакован хакерами



    Согласно информации агентства «Интерфакс», представитель столичного департамента информационных технологий рассказал, что новая форма веб-приложения по оформлению цифровых пропусков за несколько часов своей работы подверглась хакерским атакам. В этой форме можно проверить актуальность пропуска и скорректировать данные, например, поменять или добавить номер автомобиля, а также внести информацию о картах «Тройка», «Стрелка», данные по проездному билету или социальной карте.

    «Пока еще не очень много хакерских атак, хотя уже попытки были и были пресечены сразу же. Но, я думаю, что постепенно будут как-то повышать нагрузку на нас, но мы к ней готовы», — заявил в эфире телеканала «Россия 24» (ВГТРК) Эдуард Лысенко, глава ДИТ Москвы.

    Специальная веб-форма, в которой можно внести изменения в данные цифрового пропуска или исправить ошибки, если они были допущены при оформлении, появилась на портале nedoma.mos.ru утром в субботу 18 апреля 2020 года.

    У этой формы достаточно полезный функционал — узнать актуальность полученного ранее электронного пропуска. Так как очень большая часть пропусков ранее была аннулирована из-за неправильно введенных данных. Ранее 14 апреля 2020 года cервисом по выдаче электронных пропусков на портале nedoma.mos.ru воспользовались более 3,2 млн пользователей, однако 900 тысяч пропусков позже были аннулированы из-за недостоверных сведений. В том числе часть этих аннулированных пропусков были отправлены для регистрации пользователями по SMS. Но тогда пользователи не могли своевременно проверить, что их пропуска в порядке или с ними проблемы. Теперь же все стало проще с получением этих данных.

    Вдобавок стало известно, что, например, на 18 апреля 2020 года в Москве аннулировали 554 пропуска больных COVID-19 и проживающих с ними. Таким образом, эти пользователи сервиса nedoma.mos.ru также могут проверить свои пропуска в новой форме и удостоверится, что они теперь не работают.

    Как защищен новый веб-сервис по проверке и редактированию данных для цифровых пропусков по Москве от злоумышленников? В сервисе используется reCAPTCHA и подтверждение изменений в пропуске по SMS.

    При входе в сервис необходимо ввести 16-значный код электронного пропуска и пройти проверку reCAPTCHA, предоставляемую Google. Эти коды можно найти в соцсетях и в сети интернет на фотографиях пользователей, которые их выкладывали на общее обозрение, не задумываясь о последствиях. Можно попробовать сгенерировать часть 16-значных кодов, но это будет долгий процесс, хотя первая часть этих кодов в некоторых случаях стандартная — например, 3004 или 3KEP.



    Далее появляется информация о данных по электронному пропуску. Причем ее видят все пользователи, которые даже не зарегистрированы на портале mos.ru. Так как часть данных по пропуску все равно в этой форме скрыта или заменена на символ «X», то проверить или узнать их полный объем для злоумышленника будет проблематично.



    Если нажать кнопку «Изменить данные пропуска», то появится страничка, где можно выбрать категорию изменения данных — поменять номер автомобиля, поменять или внести данные по картам пользователя. Можно сразу все данные скорректировать.



    Однако, если внести в этот пропуск новые данные, то просто так обновить и сохранить их новые значения не удастся. Так на мобильный телефон пользователя будет отправлено SMS-сообщение с пятизначным кодом, который нужно ввести, чтобы подтвердить новые данные. Технически, это единственное место в этой веб-форме, где можно путем подбора кода из сообщения скомпрометировать и испортить электронный пропуск, так как пока что можно вводить несколько кодов подряд без блокировки. Но для этого нужно перебрать 99999 комбинаций, пока пользователь не обратил внимание, что ему пришло SMS с портала mos.ru и не начал разбираться с этим непонятным событием.

    После изменения этих данных в пропуске новая сохраненная злоумышленником информация в течение 5 часов должна поступить в систему контроля от ДИТ (требуется не менее чем за 5 часов до начала первой поездки по этому пропуску) и только тогда именно она будет использоваться для пропуска или блокировки пользователя или даже вынесения штрафа в его сторону, так как с 22 апреля 2020 года в Москве все машины, не включенные в цифровые пропуска, будут автоматически считаться нарушителями, а их владельцы будут штрафоваться.

    Ранее 13 апреля 2020 года в начале запуска сервиса по выдаче электронных пропусков произошел сбой в этой системе несмотря на то, что столичный Департамент информационных технологий говорил о полной готовности к любым нагрузкам. В итоге чиновники заявили о «беспрецедентной по продолжительности и интенсивности» атаке ботов, в том числе зарубежных, с которой, однако, к концу пикового периода «удалось справиться».

    18 апреля 2020 года столичный департамент транспорта показал в видеоролике, как таксисты должны проверять наличие цифровых пропусков у пассажиров с помощью мобильного приложения «Помощник Москвы». Обслуживание клиентов без пропусков грозит таксистам штрафом, отметили в департаменте транспорта.



    21 апреля 2020 года, за день до введения новых ограничений, центр организации дорожного движения (ЦОДД) сообщил, что более 3 млн автомобилистов в Москве уже привязали номера машин к цифровому пропуску, а около 800 тысяч продолжают ездить без оформленных пропусков. также в ЦОДД порекомендовали не менять номер автомобиля в пропуска более двух раз в сутки. Это может понадобиться, когда на работу человек приехал на личном автомобиле, а днем передвигается на служебной, например. Но в этом случае лучше оформить новый пропуск на эти поездки. С 22 апреля владельцы машин, чьих номеров нет в базе цифровых пропусков, будут автоматически получать штрафы — 5 тыс. рублей. Проверить, если ли пропуск у автомобиля можно еще в этой форме.
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 55

      0

      Для тех, кто добирается пешком (второй вариант — на ОТ) тоже нужен пропуск?

        +1
        Пешком — не нужен, но с учетом ранее введенных ограничений (мусор, магазин, выгул собак и т.п.).
        На ОТ — нужен. Более того, с 22.04 карта для проезда (тройка, стрелка и т.п.) не будет работать, если не внесена в пропуск.
          0

          но есть нюанс.


          по ПДД, я с электросамокатом — пешеход.
          А в запрете на пропуск самокат причислен к транспорту.


          Так в итоге — если я поеду куда-то на самокате, нужен ли мне пропуск или нет?

            0
            Присоединяюсь.
            Электросамокат прошел ТО, заряжен и рвется на волю.
            И контакта с окружающими вообще никакого.
              +6
              На клдабище у человека, прибирающего могилу, в лесу у бегуна тоже контакта нет. Тем не менее, правила такие правила и логика такая логика, что одного скутериста (даже с СИЗ) заметут с существенно большей вероятностью, чем, скажем, толпу совместно все нарушающих бородачей без национальности, как на широко известном видео.
                +2

                А что за видео? Есть ссылка или хотя бы ключевые слова для поиска?

                  0
                  Зачем видео, сегодня же праздник, Пасха! :)
                0
                а вы его убирали? я и в январе и в феврале катал
                  0
                  В январе-феврале с литым колесом слишком скользко, некомфортная поезда выходит.
                +1
                А в запрете на пропуск самокат причислен к транспорту.

                А где именно? Не увидел.
                  0

                  там нюанс в том, что в самом указе написано "любых видов транспорта".
                  и во всех СМИ трубят, что туда относятся и самокаты, даже электро.


                  И вот тут-то как раз и проблема — вам, при остановке нарядом, придётся постараться доказать, что электросамокат это не "механическое транспортное средство", а простой самокат (не электро) это не "велосипед" (ТС, приводимое в движение мускульной энергией). По крайней мере, пока ПДД не поменяются


                  ЗЫ: фактически, катаюсь на электросамокате по делам и пока, тьфу-тьфу, ни один наряд не останавливал и штрафы никуда не приходили


                  ЗЫЫ: Ещё ходит слух, что было некое письмо, в которых явно было указано про ссылку, что для самокатов тоже надо пропуск получать, но пока я его в глаза не видел — только слух и тексты от СМИ

              0
              Никому не нужен пропуск.
              +11
              При входа в сервис необходимо ввести 16-значный код электронного пропуска и пройти reCAPTCHA

              Я правильно понял, что теперь Google решает, кому положен, а кому не положен пропуск?
                +2
                Просто hetzner уже был, теперь нужно и со всеми остальными поделиться.
                  0
                  Там пока в мягоньком варианте. Не нужно искать пожарные гидранты :)
                    +3
                    Зайдите через прокси, впн, тор и будут Вам гидранты со светофорами в полном объеме. А то и просто «из вашей сети слишком много запросов».
                      0
                      "… а Вы на шкаф залезьте" :)

                      Для чего мне ходить туда через тор?
                      Вроде этот сайт не из тех, куда доступ блочат.
                        0
                        Для чего мне ходить туда через тор?
                        Для того, чтобы понимать как работает reCAPTCHA? Кому гидрганты, а кому сразу галку.
                          –3
                          На мос-ру я пошёл, чтобы оформить пропуск, а не разбираться в работе рекапчи. Что успешно и сделал.

                          Если бы захотел разобраться. то пошёл бы в другие, более подходящие места. Почитал бы статьи на хабре, например… :)
                  +14
                  Я бы не верил словам данной структуры про атаку хакерами: у них нет профессионалов, которые настроят всё правильно. Отсюда их проблемы, которые они прикрывают ничем не подтверждённой информацией про якобы имевшие быть «атаки хакеров».
                    +2

                    Даже на непрофессионально организованную инфраструктуру может быть осуществлена хакерская атака. Даже если состоит она из десятка неорганизованных скучающих школьников…

                      –1

                      Что не отменяет того факта, что 99% создаются теми кто настраивает эти базы

                        –6
                        Хуже! Из десятков тысяч тетенек за 50, не владеющих с клавиатурой и сотен тысяч мигрантов (дворников, таксистов и так далее) плохо владеющих русским языком. Это как те самые тысячи обезьян на тысяче терминалов — сломают вообще все, даже то, что не ломается.

                        Рублиштейна 24



                        С одни таксистом пришлось на английском общаться. Выяснилось, что даже на моем дерьмовом английском ему понятней, чем на русском. Palace знает, дворец — не знает.

                        Так что ДИТ прав, что атаковали иностранцы. Вот только это работающие в Москве иностранцы.
                      +15
                      Хм, reCAPTCHA? А где же всевидящий роскомпозор, интересно? Ведь именно за использование басурманской капчи был забанен сайт «Умного голосования»…
                        +2
                        Наверное, импортозамещённого аналога рекапчи в ресстрах не нашли)
                        Но согласен, это позор. Тут играем, тут не играем…
                          +1
                          Я на пикабу заметку недавно публиковал: pikabu.ru/story/suverennyiy_internet_opasnoste_7354074
                          Суть в том, что на официальном гибдд.рф в форме проверки штрафов тоже используется реКапча))) И прикол в том, что она часто отваливается (пишет, неверный ключ). Из-за этого я не мог три дня проверить штрафы (потом заработало). А сейчас опять не работает)))


                          Как всегда слова и дела расходятся.
                          +1
                          Мне 5 CМС от фейсбука пришло за 3 дня. Ночью, ранним утром, днем.
                          «Код подтверждения аккаунта Instagram: 6 цифр» и такое же, но английскими буквами.
                          У меня нет Инсты. Эта симка у меня лет 5. Что за развод?

                          Сейчас зашел в Инсту, сбросив пароль через свою мобилу. Все страньше и страньше. Есть аккаунт Инсты, привязанный к моему телефону. Был создан ровно год назад.
                            0

                            А аккаунт пустой или живой?

                              0
                              Полностью пустой, на какую то очень старую тетку. Причем я вспоминаю, что несколько месяцев назад уже было одно СМС с кодом для Инсты.
                                +1

                                Тетка, возможно, номером ошиблась.

                                  0
                                  Бред. Как тетка могла ошибиться, если в настройках ее аккаунта записан мой сотовый? Как тетка зарегила Инсту год назад без подтверждения, не указав свой почтовый ящик и указав мой мобильник? Зачем пытаться зайти в пустой аккаунт без друзей и переписок в 4 утра, днем в 10, вечером в 20? Почему одни смски на русском, а другие на транслите?
                                    0

                                    Я не знаю, что там с инстаграммом, но ситауция, когда введенные данные проверяются уже после создания профиля ни разу не уникальная. Вот так чужой номер и попадает в профиль.
                                    Возможно, ее номер от твоего на 1 цифру отличается, так и ошибаются обычно.


                                    А возможно тетка вколотила левый номер, который случайно совпал с твоим, потому что не хотела указывать свой. Я так пару раз делал, вбивая что-то типа +7-917-322-22-33 там, где оставлять номер мне не уперлось, но без него не пускали дальше.

                                      +2

                                      Если я правильно понимаю, это как раз и была процедура привязки аккаунта к вашему номеру. Вы подтвердили – теперь тётке аккаунт пересоздавать или объяснять СБ инсты, что она ваш номер ввела по ошибке, отвяжите от него, пожалуйста.


                                      У меня такое было с привязкой аккаунта к e-mail. Зашёл туда и оставил в профиле для хозяйки надпись, чтобы перепривязала. Угонять акк не стал, мне и свой-то не нужен.

                                +3
                                Может быть, кто-то ошибся на одну цифру, когда номер телефона вводил
                                  0

                                  5 раз подряд?

                                    +4

                                    Почему бы и нет? Мне как-то женщина раза 4 звонила и спрашивала Машу какую-то, утверждая, что номер она правильно набирает. Мои аргументы она слушать отказывалась.

                                      0
                                      Мне как-то женщина раза 4 звонила и спрашивала Машу какую-то, утверждая, что номер она правильно набирает.

                                      Кнопка Redial то ещё зло.
                                +9
                                В итоге чиновники заявили о «беспрецедентной по продолжительности и интенсивности» атаке ботов, в том числе зарубежных, с которой, однако, к концу пикового периода «удалось справиться».

                                Насколько я понимаю нет никаких доказательств хакерской атаки кроме заявления самого ДИТ, который вероятно пытается оправдать атакой свою криворукость (которая была неоднократно доказана).
                                У этой формы очень полезный функционал — узнать актуальность полученного ранее электронного пропуска.

                                А с моей точки зрения очень вредный, тк сливает мои данные всем подряд. Эта форма механизм ограничения передвижения граждан без введения ЧС, что противоречит конституции и незаконно.
                                Так как очень большая часть пропусков ранее была аннулирована из-за неправильно введенных данных.

                                По моим сведениям аннулировали также и корректные пропуска. Например у тех у кого ИНН физлица и юрлица совпадает (видимо криворучки из ДИТ не учли этот случай).
                                В том числе часть этих аннулированных пропусков были отправлены для регистрации пользователями по SMS. Но тогда пользователи не могли своевременно проверить, что их пропуска в порядке или с ними проблемы.

                                Отправить оповещение об аннулировании по смс на тот же номер? Вроде это должно планироваться ДО ввода системы.
                                  0

                                  Насколько я читал, пропуска ИПшникам потом восстановили.

                                    –11
                                    А с моей точки зрения очень вредный, тк сливает мои данные всем подряд. Эта форма механизм ограничения передвижения граждан без введения ЧС, что противоречит конституции и незаконно.


                                    Это заблуждения дилетанта, которому лень заглянуть в Конституцию, а проще повторить чужую ложь не разбираясь.

                                    В Конституции кроме прав есть условия ограничения прав — это п.3 статьи 55. Права могут быть ограничены федеральными законами в случае угрозы здоровью других лиц.

                                    Федеральный закон о защите от ЧС регламентирует не только объявление ЧС, но и т.н. режим повышенной готовности, который вводится для предотвращения наступления ЧС. Там же перечислены и полномочия органов власти в частности пункт ст.11 пункт 1 подпункт У — установка правил поведения граждан.

                                    (Я надеюсь нет необходимости пояснять, чем предотвращение ЧС лучше, чем дождаться наступления, а потом героически бороться?)

                                    Соответственно закону о ЧС, в Москве, например, введен режим повышенной готовности, который регламентирует правила, то есть пользуется выше названным пп. У пункта 1 статьи 11 закона о защите от ЧС.

                                    Таким образом ограничивающие меры полностью соответствуют Конституции.

                                    Бороться за правду и законность, но при этом лгать — постыдное явление.
                                    Повторять с умным видом чужую ложь не рефлексируя — постыдное явление.

                                    Быть айтишником, но не иметь при этом критического и логического мышления я считаю признаком деградации нашего сообщества, видимо тренд «войти в айти» очень много пены собрал.
                                      +13

                                      Прекрасно, вот только режим повышенной готовности не накладывает никаких ограничений на граждан, он действует на государственные службы и органы управления.

                                        +2
                                        Ограничения не сильно напряжные, но есть.
                                        Хотя бы носить с собой документы, удостоверяющие личность.

                                        см. Постановление Правительства РФ от 02.04.2020 N 417 «Об утверждении Правил поведения, обязательных для исполнения гражданами и организациями, при введении режима повышенной готовности или чрезвычайной ситуации»

                                        www.garant.ru/products/ipo/prime/doc/73741778

                                        Постановление выпущено в соответствии со статьей 10 Федерального закона «О защите населения и территорий от чрезвычайных ситуаций природного и техногенного характера». В этой статье правительству даются полномочия выпускать такие постановления.
                                        ФЗ соблюдён, всё норм.
                                          –1
                                          Ну, собственно, вы тоже подпадаете под категорию «слышал звон да не знаю где он», несмотря на то, что я указал документы с которыми надо ознакомиться.

                                          Режим повышенной готовности не накладывает ограничений на граждан, зато он дает полномочия органам власти эти ограничения накладывать. И в соответствии с этими полномочиями Собяниным(я изучал вопрос по Москве) был выпущен указ с установлением правил поведения, которые и описывают режим т.н. самоизоляции.

                                          Почему вы не прочитали указ прежде чем спорить?

                                          innovaIT очевидно, что вы не смогли понять смысл приведенного вами пункта, но тоже ринулись спорить и опровергать. Смысл приведенного пункта в перечислении полномочий руководителя ликвидации ЧС, а вовсе не общие требования к режиму повышенной готовности. Эти полномочия вообще не имеют отношения к обсуждаемой теме.

                                          Таким образом мы имеем в наличии двух человек, которые не осилили прочесть нормативные акты, но активно спорят. А также десятки тех, кто их поддерживает.

                                          Это норма, для сообщества, которое пыжиться быть интеллектуальным? Это и есть прекрасный пример «борьбы за свободу», а инструменты в этой борьбе — ложь и невежество.
                                            0
                                            Пройдемся тогда по закону более конкретно.
                                            • Статья 11 — Полномочия органов государственной власти субъектов Российской Федерации и органов местного самоуправления в области защиты населения и территорий от чрезвычайных ситуаций. пп.1 н) устанавливают региональный уровень реагирования в порядке, установленном пунктом 8 статьи 4.1 настоящего Федерального закона;
                                            • Статья 4.1 пп.8 — 8. При введении режима чрезвычайной ситуации в зависимости от классификации чрезвычайных ситуаций, а также от других факторов, влияющих на безопасность жизнедеятельности населения и требующих принятия дополнительных мер по защите населения и территорий от чрезвычайной ситуации, устанавливается один из следующих уровней реагирования:Далее идет перечисление, на какую территорию распространяется режим.
                                            • Статья 4.1 пп 10 на который я и сослался ранее опять нас отсылает к пп.8 «При введении режима повышенной готовности или чрезвычайной ситуации, а также при установлении уровня реагирования для соответствующих органов управления и сил единой государственной системы предупреждения и ликвидации чрезвычайных ситуаций Правительственная комиссия по предупреждению и ликвидации чрезвычайных ситуаций и обеспечению пожарной безопасности или должностное лицо, установленные пунктами 8 и 9 настоящей статьи, может определять руководителя ликвидации чрезвычайной ситуации, который несет ответственность за проведение этих работ в соответствии с законодательством Российской Федерации и законодательством субъектов Российской Федерации, и принимать дополнительные меры по защите населения и территорий от чрезвычайных ситуаций:


                                            Т.е. Полномочия органов из ст.11(А пропуска и прочие ограничения ввели как раз на уровне субъектов РФ) ссылаются на пп 8 ст. 4.1, пп 10 ст.4.1 тоже ссылается на пп 8 ст.4.1. Из этого я делаю вывод, что полномочия заканчиваются на ппп „д“ статьи 4.1 пп 10. Юристы, прошу подтвердить или опровергнуть мой вывод. Ну или дать разъяснение.

                                            P.S. Там есть еще много чего интересного. Как например: » Граждане Российской Федерации имеют право:
                                            -в соответствии с планами действий по предупреждению и ликвидации чрезвычайных ситуаций использовать средства коллективной и индивидуальной защиты и другое имущество органов исполнительной власти субъектов Российской Федерации, органов местного самоуправления и организаций, предназначенное для защиты населения от чрезвычайных ситуаций;" — Где раздача СИЗ?
                                            -быть информированными о риске, которому они могут подвергнуться в определенных местах пребывания на территории страны, и о мерах необходимой безопасности;Где сказано, про ограничения нахождения? Может я не прав, поправьте пожалуйста.
                                            -на медицинское обслуживание, компенсации и социальные гарантии за проживание и работу в зонах чрезвычайных ситуаций; Пропускной режим подразумевает зону чрезвычайных ситуаций? Или это еще не зона чрезвычайной ситуации? Ограничение на передвижение по городу: Т.е. весь город это зона чрезвычайной ситуации или еще нет?
                                          +9

                                          В том же законе есть ещё статья 4.1 пп 10. И там чётко сказано " д) осуществлять меры, обусловленные развитием чрезвычайной ситуации, не ограничивающие прав и свобод человека и гражданина и направленные на защиту населения и территорий от чрезвычайной ситуации, создание необходимых условий для предупреждения и ликвидации чрезвычайной ситуации и минимизации ее негативного воздействия."

                                          +1
                                          Например у тех у кого ИНН физлица и юрлица совпадает
                                          Как это? У физлиц 12 знаков, у юрлиц 10.
                                            +2

                                            Имелись в виду ИПшники наверное, у которых юрлица нет и они по ИНН физлица работают

                                          +3
                                          У меня есть тихое подозрение что в статистику хакерских атак записывают любое сканирование ip-адресов, которых сейчас море
                                            +6
                                            У меня есть громкая уверенность, что любой свой технический факап госструктуры списывают на зарубежных хакеров.
                                            +2
                                            Вот когда эта база пропусков утечет, будет совсем не круто, даже оставляя симку дропа,
                                            приходится выдавать реальные паспортные данные и примерные маршруты следования.
                                              +3
                                              Вот сейчас например пришло письмо с госуслуг, что мой пропуск, который истек 5 дней назад, аннулирован, потому что там ИНН не верный, но ИНН там вообще не было, так как пропуск для личных целей и теперь я должен думать, о том, что это, или они так логику написали или кто то их сломал и пытается мой пропуск для себя заюзать, но не подобрал в том районе нужный ИНН. Не айс. А если кто подделает пропуск и грохнет кого-нибудь или типа того?
                                              Это не шутки ни хрена, такие вещи должны делать дорогие спецы с опытом, а не вчерашние школьники.
                                              Потому делайте как положено или выключайте вообще эту шнягу.
                                                +3
                                                Аналогичная проблема. Оформил пропуск на 1 день для похода в аптеку на общественном транспорте (в ближайшей нужного лекарства нет).
                                                Указал адрес и название аптеки.
                                                Через несколько дней приходит письмо об аннулировании пропуска:
                                                Уважаемый пользователь!

                                                Ваш цифровой пропуск <пропущено>, так как указанные Вами данные об организации, к сожалению, не прошли проверку (был указан некорректный ИНН или ИНН, отсутствующий в ЕГРЮЛ/ЕГРИП).

                                                Просим Вас уточнить ИНН Вашей организации и вновь оформить цифровой пропуск, внимательно заполнив форму на mos.ru.

                                                2 вопроса: куда вбивать ИНН (в форме вообще такого пункта нет) и в чём смысл аннулирования пропуска после его истечения?
                                                  +6

                                                  Думаю эти клоуны просто скрипт по проверке ИНН прогнали по всем пропускам. А должны были только по тем где это поле обязательно ( ИП и рабочие пропуска).

                                                  +1

                                                  Аналогично аннулировали пропуска выписанные 4 дня назад для посещения медицинских учреждений.
                                                  При выписке таких пропусков нужно заполнить адрес и название клиники. Что мы и сделали. Сейчас же прилетело письмо что оба пропуска аннулированы с причиной "ИНН организации не прошел проверку".
                                                  При этом дозвониться по номеру оставленному для жалоб не получается. Операторы заняты.

                                                    +4
                                                    Ага, все телефоны тоже хакеры атакуют.

                                                Only users with full accounts can post comments. Log in, please.