Как стать автором
Обновить

ДИТ Москвы: сервис по проверке и редактированию данных для цифровых пропусков по Москве был атакован хакерами

Законодательство в IT IT-компании


Согласно информации агентства «Интерфакс», представитель столичного департамента информационных технологий рассказал, что новая форма веб-приложения по оформлению цифровых пропусков за несколько часов своей работы подверглась хакерским атакам. В этой форме можно проверить актуальность пропуска и скорректировать данные, например, поменять или добавить номер автомобиля, а также внести информацию о картах «Тройка», «Стрелка», данные по проездному билету или социальной карте.

«Пока еще не очень много хакерских атак, хотя уже попытки были и были пресечены сразу же. Но, я думаю, что постепенно будут как-то повышать нагрузку на нас, но мы к ней готовы», — заявил в эфире телеканала «Россия 24» (ВГТРК) Эдуард Лысенко, глава ДИТ Москвы.

Специальная веб-форма, в которой можно внести изменения в данные цифрового пропуска или исправить ошибки, если они были допущены при оформлении, появилась на портале nedoma.mos.ru утром в субботу 18 апреля 2020 года.

У этой формы достаточно полезный функционал — узнать актуальность полученного ранее электронного пропуска. Так как очень большая часть пропусков ранее была аннулирована из-за неправильно введенных данных. Ранее 14 апреля 2020 года cервисом по выдаче электронных пропусков на портале nedoma.mos.ru воспользовались более 3,2 млн пользователей, однако 900 тысяч пропусков позже были аннулированы из-за недостоверных сведений. В том числе часть этих аннулированных пропусков были отправлены для регистрации пользователями по SMS. Но тогда пользователи не могли своевременно проверить, что их пропуска в порядке или с ними проблемы. Теперь же все стало проще с получением этих данных.

Вдобавок стало известно, что, например, на 18 апреля 2020 года в Москве аннулировали 554 пропуска больных COVID-19 и проживающих с ними. Таким образом, эти пользователи сервиса nedoma.mos.ru также могут проверить свои пропуска в новой форме и удостоверится, что они теперь не работают.

Как защищен новый веб-сервис по проверке и редактированию данных для цифровых пропусков по Москве от злоумышленников? В сервисе используется reCAPTCHA и подтверждение изменений в пропуске по SMS.

При входе в сервис необходимо ввести 16-значный код электронного пропуска и пройти проверку reCAPTCHA, предоставляемую Google. Эти коды можно найти в соцсетях и в сети интернет на фотографиях пользователей, которые их выкладывали на общее обозрение, не задумываясь о последствиях. Можно попробовать сгенерировать часть 16-значных кодов, но это будет долгий процесс, хотя первая часть этих кодов в некоторых случаях стандартная — например, 3004 или 3KEP.



Далее появляется информация о данных по электронному пропуску. Причем ее видят все пользователи, которые даже не зарегистрированы на портале mos.ru. Так как часть данных по пропуску все равно в этой форме скрыта или заменена на символ «X», то проверить или узнать их полный объем для злоумышленника будет проблематично.



Если нажать кнопку «Изменить данные пропуска», то появится страничка, где можно выбрать категорию изменения данных — поменять номер автомобиля, поменять или внести данные по картам пользователя. Можно сразу все данные скорректировать.



Однако, если внести в этот пропуск новые данные, то просто так обновить и сохранить их новые значения не удастся. Так на мобильный телефон пользователя будет отправлено SMS-сообщение с пятизначным кодом, который нужно ввести, чтобы подтвердить новые данные. Технически, это единственное место в этой веб-форме, где можно путем подбора кода из сообщения скомпрометировать и испортить электронный пропуск, так как пока что можно вводить несколько кодов подряд без блокировки. Но для этого нужно перебрать 99999 комбинаций, пока пользователь не обратил внимание, что ему пришло SMS с портала mos.ru и не начал разбираться с этим непонятным событием.

После изменения этих данных в пропуске новая сохраненная злоумышленником информация в течение 5 часов должна поступить в систему контроля от ДИТ (требуется не менее чем за 5 часов до начала первой поездки по этому пропуску) и только тогда именно она будет использоваться для пропуска или блокировки пользователя или даже вынесения штрафа в его сторону, так как с 22 апреля 2020 года в Москве все машины, не включенные в цифровые пропуска, будут автоматически считаться нарушителями, а их владельцы будут штрафоваться.

Ранее 13 апреля 2020 года в начале запуска сервиса по выдаче электронных пропусков произошел сбой в этой системе несмотря на то, что столичный Департамент информационных технологий говорил о полной готовности к любым нагрузкам. В итоге чиновники заявили о «беспрецедентной по продолжительности и интенсивности» атаке ботов, в том числе зарубежных, с которой, однако, к концу пикового периода «удалось справиться».

18 апреля 2020 года столичный департамент транспорта показал в видеоролике, как таксисты должны проверять наличие цифровых пропусков у пассажиров с помощью мобильного приложения «Помощник Москвы». Обслуживание клиентов без пропусков грозит таксистам штрафом, отметили в департаменте транспорта.



21 апреля 2020 года, за день до введения новых ограничений, центр организации дорожного движения (ЦОДД) сообщил, что более 3 млн автомобилистов в Москве уже привязали номера машин к цифровому пропуску, а около 800 тысяч продолжают ездить без оформленных пропусков. также в ЦОДД порекомендовали не менять номер автомобиля в пропуска более двух раз в сутки. Это может понадобиться, когда на работу человек приехал на личном автомобиле, а днем передвигается на служебной, например. Но в этом случае лучше оформить новый пропуск на эти поездки. С 22 апреля владельцы машин, чьих номеров нет в базе цифровых пропусков, будут автоматически получать штрафы — 5 тыс. рублей. Проверить, если ли пропуск у автомобиля можно еще в этой форме.
Теги:
Хабы:
Всего голосов 23: ↑16 и ↓7 +9
Просмотры 21K
Комментарии Комментарии 55