Как стать автором
Обновить

Эксперты нашли уязвимость в мобильном приложении «Госуслуги Москвы» для Android

Время на прочтение2 мин
Количество просмотров4.5K


По информации «РБК», специалисты компании Postuf обнаружили уязвимость в мобильном приложении «Госуслуги Москвы» для Android. С ее помощью можно было получить доступ к личному кабинету зарегистрированного в системе пользователя, зная только номер мобильного телефона жертвы. В процессе эксплуатации уязвимости злоумышленники могли не только просматривать персональные данные владельцев аккаунтов, включая ФИО, электронную почту, дату рождения, номера полисов ОМС и СНИЛС, паспортные данные, но и изменять их, например, вводить неправильные госномера автомобилей. Причем пострадавшая сторона не уведомлялась информационной системой о внесении изменений в данные аккаунта и доступе к нему третьих лиц. Сейчас данная уязвимость закрыта разработчиком мобильного приложения — департаментом информационных технологий Москвы (ДИТ Москвы).

ИБ-исследователи не смогли пояснить, сколько именно времени уязвимость была доступна. Специалисты Postuf (в компании своих сотрудников называют «белыми хакерами») продемонстрировали возможность ее эксплуатации журналисту «РБК», получив доступ к его профилю и изменив его данные в системе «Госуслуги Москвы».

Издание «РБК» связалось с ДИТ по поводу этой уязвимости. Представители департамента информационных технологий Москвы опровергли факт наличия подобной уязвимости, так как авторизация в мобильном приложении «Госуслуги Москвы» без указания пароля невозможна. Через некоторое время специалисты Postuf обнаружили, что уязвимость все же была заблокирована на стороне ДИТ и теперь ее нельзя использовать.

Эксперт ИБ-подразделения Softline пояснил «РБК», что специалистам компании также не удалось повторить способ использования уязвимости, как было описано в отчете Postuf. Вероятно, что ее действительно исправил разработчик, или для ее использования необходимо выполнить дополнительные действия, не озвученные Postuf.

Специалисты Group-IB, «Лаборатории Касперского», Positive Technologie отказались комментировать данные из отчета Postuf. Их представители указали, что действия Postuf в данном случае были неэтичны, а об уязвимости нужно было сначала сообщить разработчику, а не в СМИ и рассказывать о ней публично.

Представитель Postuf рассказал «РБК», что сделали это намеренно, так как в обычном случае ДИТ бы просто закрыл уязвимость, а возможность ее использования нельзя было бы подтвердить.

«РКБ» напомнило, что по данным официального сайта мэрии, в 2020 году у мобильного приложения «Госуслуги Москвы» было 2,3 млн пользователей.

В начале января 2021 года ДИТ Москвы разместил тендер стоимостью 185 млн рублей на создание системы хранения персональных данных жителей столицы. База данных будет включать документы граждан, сведения об их работе и доходах, адреса, информацию о родственниках, успеваемости детей в школе и домашних животных. В эту базу данных занесут номера паспортов москвичей, СНИЛС, ИНН, ОМС, транспортные сведения (VIN, ПТС, СТС), данные карт «Тройка».
Теги:
Хабы:
Всего голосов 8: ↑8 и ↓0+8
Комментарии4

Другие новости

Истории

Работа

Ближайшие события

7 – 8 ноября
Конференция byteoilgas_conf 2024
МоскваОнлайн
7 – 8 ноября
Конференция «Матемаркетинг»
МоскваОнлайн
15 – 16 ноября
IT-конференция Merge Skolkovo
Москва
22 – 24 ноября
Хакатон «AgroCode Hack Genetics'24»
Онлайн
28 ноября
Конференция «TechRec: ITHR CAMPUS»
МоскваОнлайн
25 – 26 апреля
IT-конференция Merge Tatarstan 2025
Казань