Как стать автором
Обновить

Паспортные данные оштрафованных за нарушение самоизоляции технически можно получить перебором УИН штрафа

Время на прочтение4 мин
Количество просмотров4.7K

С начала мая 2020 года было Главным контрольным управлением Москвы было оформлено более 35 тыс. штрафов за нарушение самоизоляции. За первое нарушение накладывался штраф в размере 4000 рублей, за повторное — 5000 рублей. Нарушители карантина получали в электронной форме через портал госуслуг или другими способами УИН (уникальный идентификатор начисления) штрафа, по которому они могли оплатить его с помощью различных сервисов. Вот только при просмотре информации по УИН «карантинных штрафов» в этих сервисах любой пользователь мог увидеть паспортные данные и ФИО оштрафованного лица. Эта информация без правок и сокращений оказалась доступна всем, кто может подобрать нужный диапазон валидных УИН (20 цифр), причем без регистрации и проверки типа «капча». Вдобавок в этой системе нет блокировки от попыток многократного введения УИН.

Фактически, проверка по номерам УИН штрафов, которую делают различные интернет-сервисы, проводится ими через Государственную информационную систему о государственных и муниципальных платежах (ГИС ГМП). Эти система находится под управлением Федерального казначейства.

В пресс-службе департамента информационных технологий (ДИТ) Москвы пояснили, что эта ситуация с персональными данными, отображаемыми в штрафах, находится вне деятельности департамента.

Юристы считают, что доступность паспортных данных и ФИО по УИН нарушает закон «О персональных данных». Они советуют пострадавшим пожаловаться в Роскомнадзор на нарушение закона о персональных данных. Правда, если регулятор и назначит по этой ситуации штраф (не более 75 тыс. рублей), то он пойдет в доход бюджета, а не на компенсацию пострадавшему. Далее пострадавший может добиваться компенсации через суд. Также в Роскомнадзоре рассказали, что в настоящее время жалоб на утечку персональных данных по номеру УИН к ним не поступало.

Ашот Оганесян, основатель и технический директор компании DeviceLock, прокомментировал эту ситуацию в Telegram-канале «Утечки информации»:

«Есть сайт «Оплата Госуслуг» (не имеет отношения к Порталу государственных услуг️). На этом сайте возможен поиск по УИН (уникальный идентификатор начисления). При поиске не используется CAPTCHA и нет защиты от массовых запросов.

Соответственно, можно перебором УИН найти все начисления. В некоторых начислениях (в частности штрафах за нарушение режима самоизоляции в Москве) указываются персональные данные граждан: ФИО и паспортные данные, причем не в частично обезличенном виде, а полностью.

Зная, как формируется УИН можно существенно упростить задачу перебора. УИН состоит из 20 и 25 цифр, последний разряд является контрольным и вычисляется по известной формуле (что позволяет перебирать только валидные номера). Например, УИН Главного контрольного Управление города Москвы состоит из 25 цифр. Первые 8 всегда 03162432, потом еще две известны — 77 и последняя — контрольный разряд».

Ранее в начале мая 2020 года в магазинах Google Play и App Store была опубликована обновленная версия приложения «Социальный мониторинг». С помощью этого приложения власти и органы здравоохранения имеют возможность контролировать удаленно соблюдение пользователями режима самоизоляции. Приложение проверяет как пользователь соблюдает все предписанные ему правила по изоляции. Например, может послать ночью на его смартфон push-уведомление с запросом прислать свое фото. Если это не будет сделано, то системой выписывается штраф в 4 тысячи рублей. Этот же штраф автоматически появляется, если приложение не было установлено и пользователь в нем не был зарегистрирован в течение суток после начала действий для него режима самоизоляция.

В середине мая 2020 года Айрат Хайруллин, министр цифрового развития государственного управления, информационных технологий и связи республики Татарстан (Минцифра Татарстана), сообщил о том, что с 12 мая 2020 года система смс-пропусков и справок от работодателя в Татарстане прекратила работу. Поэтому Минцифра собирается провести полное уничтожение базы данных цифровых пропусков, которая содержит личную информацию, включая паспортные данные, более 1,7 млн пользователей региона. Для организации этой процедуры удаления будет создана специальная комиссия.

Также в середине мая 2020 года Федеральная служба безопасности (ФСБ) поддержала вопросы к безопасности разворачиваемых в регионах систем мониторинга граждан в период самоизоляции. Служба напомнила о необходимости согласовывать с ней подобные разработки и готова оперативно проверять их на наличие угроз, следует из межведомственной переписки. Такие системы должны подпадать под закон «О безопасности критической информационной инфраструктуры (КИИ)», что и распространяет на них требования ФСБ и ФСТЭК, считают юристы. До сих пор неизвестно, например, готовила ли мэрия Москвы модели угроз и техническое задание на создание информационной системы и были ли эти данные направлены на рассмотрение в ФСБ.

Минутка заботы от НЛО


В мире официально объявлена пандемия COVID-19 — потенциально тяжёлой острой респираторной инфекции, вызываемой коронавирусом SARS-CoV-2 (2019-nCoV). На Хабре много информации по этой теме — всегда помните о том, что она может быть как достоверной/полезной, так и наоборот.

Мы призываем вас критично относиться к любой публикуемой информации


Официальные источники

Если вы проживаете не в России, обратитесь к аналогичным сайтам вашей страны.

Мойте руки, берегите близких, по возможности оставайтесь дома и работайте удалённо.
Читать публикации про: коронавирус | удалённую работу
Теги:
Хабы:
Всего голосов 12: ↑12 и ↓0+12
Комментарии6

Другие новости

Истории

Работа

Ближайшие события