![](https://habrastorage.org/webt/wq/c8/zm/wqc8zm4ifx6dmqqypt3pvu8fu1y.jpeg)
Согласно информации агентства «Интерфакс», представитель столичного департамента информационных технологий рассказал, что новая форма веб-приложения по оформлению цифровых пропусков за несколько часов своей работы подверглась хакерским атакам. В этой форме можно проверить актуальность пропуска и скорректировать данные, например, поменять или добавить номер автомобиля, а также внести информацию о картах «Тройка», «Стрелка», данные по проездному билету или социальной карте.
«Пока еще не очень много хакерских атак, хотя уже попытки были и были пресечены сразу же. Но, я думаю, что постепенно будут как-то повышать нагрузку на нас, но мы к ней готовы», — заявил в эфире телеканала «Россия 24» (ВГТРК) Эдуард Лысенко, глава ДИТ Москвы.
Специальная веб-форма, в которой можно внести изменения в данные цифрового пропуска или исправить ошибки, если они были допущены при оформлении, появилась на портале nedoma.mos.ru утром в субботу 18 апреля 2020 года.
У этой формы достаточно полезный функционал — узнать актуальность полученного ранее электронного пропуска. Так как очень большая часть пропусков ранее была аннулирована из-за неправильно введенных данных. Ранее 14 апреля 2020 года cервисом по выдаче электронных пропусков на портале nedoma.mos.ru воспользовались более 3,2 млн пользователей, однако 900 тысяч пропусков позже были аннулированы из-за недостоверных сведений. В том числе часть этих аннулированных пропусков были отправлены для регистрации пользователями по SMS. Но тогда пользователи не могли своевременно проверить, что их пропуска в порядке или с ними проблемы. Теперь же все стало проще с получением этих данных.
Вдобавок стало известно, что, например, на 18 апреля 2020 года в Москве аннулировали 554 пропуска больных COVID-19 и проживающих с ними. Таким образом, эти пользователи сервиса nedoma.mos.ru также могут проверить свои пропуска в новой форме и удостоверится, что они теперь не работают.
Как защищен новый веб-сервис по проверке и редактированию данных для цифровых пропусков по Москве от злоумышленников? В сервисе используется reCAPTCHA и подтверждение изменений в пропуске по SMS.
При входе в сервис необходимо ввести 16-значный код электронного пропуска и пройти проверку reCAPTCHA, предоставляемую Google. Эти коды можно найти в соцсетях и в сети интернет на фотографиях пользователей, которые их выкладывали на общее обозрение, не задумываясь о последствиях. Можно попробовать сгенерировать часть 16-значных кодов, но это будет долгий процесс, хотя первая часть этих кодов в некоторых случаях стандартная — например, 3004 или 3KEP.
![](https://habrastorage.org/webt/dw/tr/x9/dwtrx9podrq1vhjz1xehfzbpxpy.jpeg)
Далее появляется информация о данных по электронному пропуску. Причем ее видят все пользователи, которые даже не зарегистрированы на портале mos.ru. Так как часть данных по пропуску все равно в этой форме скрыта или заменена на символ «X», то проверить или узнать их полный объем для злоумышленника будет проблематично.
![](https://habrastorage.org/webt/c-/x3/ww/c-x3wwm0yhvmspgrrhuy5lajd-g.jpeg)
Если нажать кнопку «Изменить данные пропуска», то появится страничка, где можно выбрать категорию изменения данных — поменять номер автомобиля, поменять или внести данные по картам пользователя. Можно сразу все данные скорректировать.
![](https://habrastorage.org/webt/vd/t-/yi/vdt-yi4lsvafperp002ffw4duzc.jpeg)
Однако, если внести в этот пропуск новые данные, то просто так обновить и сохранить их новые значения не удастся. Так на мобильный телефон пользователя будет отправлено SMS-сообщение с пятизначным кодом, который нужно ввести, чтобы подтвердить новые данные. Технически, это единственное место в этой веб-форме, где можно путем подбора кода из сообщения скомпрометировать и испортить электронный пропуск, так как пока что можно вводить несколько кодов подряд без блокировки. Но для этого нужно перебрать 99999 комбинаций, пока пользователь не обратил внимание, что ему пришло SMS с портала mos.ru и не начал разбираться с этим непонятным событием.
После изменения этих данных в пропуске новая сохраненная злоумышленником информация в течение 5 часов должна поступить в систему контроля от ДИТ (требуется не менее чем за 5 часов до начала первой поездки по этому пропуску) и только тогда именно она будет использоваться для пропуска или блокировки пользователя или даже вынесения штрафа в его сторону, так как с 22 апреля 2020 года в Москве все машины, не включенные в цифровые пропуска, будут автоматически считаться нарушителями, а их владельцы будут штрафоваться.
Ранее 13 апреля 2020 года в начале запуска сервиса по выдаче электронных пропусков произошел сбой в этой системе несмотря на то, что столичный Департамент информационных технологий говорил о полной готовности к любым нагрузкам. В итоге чиновники заявили о «беспрецедентной по продолжительности и интенсивности» атаке ботов, в том числе зарубежных, с которой, однако, к концу пикового периода «удалось справиться».
18 апреля 2020 года столичный департамент транспорта показал в видеоролике, как таксисты должны проверять наличие цифровых пропусков у пассажиров с помощью мобильного приложения «Помощник Москвы». Обслуживание клиентов без пропусков грозит таксистам штрафом, отметили в департаменте транспорта.
21 апреля 2020 года, за день до введения новых ограничений, центр организации дорожного движения (ЦОДД) сообщил, что более 3 млн автомобилистов в Москве уже привязали номера машин к цифровому пропуску, а около 800 тысяч продолжают ездить без оформленных пропусков. также в ЦОДД порекомендовали не менять номер автомобиля в пропуска более двух раз в сутки. Это может понадобиться, когда на работу человек приехал на личном автомобиле, а днем передвигается на служебной, например. Но в этом случае лучше оформить новый пропуск на эти поездки. С 22 апреля владельцы машин, чьих номеров нет в базе цифровых пропусков, будут автоматически получать штрафы — 5 тыс. рублей. Проверить, если ли пропуск у автомобиля можно еще в этой форме.