Эксперты нашли уязвимость в мобильном приложении «Госуслуги Москвы» для Android

0
6

Эксперты нашли уязвимость в мобильном приложении «Госуслуги Москвы» для Android

По информации «РБК», специалисты компании Postuf обнаружили уязвимость в мобильном приложении «Госуслуги Москвы» для Android. С ее помощью можно было получить доступ к личному кабинету зарегистрированного в системе пользователя, зная только номер мобильного телефона жертвы. В процессе эксплуатации уязвимости злоумышленники могли не только просматривать персональные данные владельцев аккаунтов, включая ФИО, электронную почту, дату рождения, номера полисов ОМС и СНИЛС, паспортные данные, но и изменять их, например, вводить неправильные госномера автомобилей. Причем пострадавшая сторона не уведомлялась информационной системой о внесении изменений в данные аккаунта и доступе к нему третьих лиц. Сейчас данная уязвимость закрыта разработчиком мобильного приложения — департаментом информационных технологий Москвы (ДИТ Москвы).

ЧИТАТЬ ТАКЖЕ:  Исследователи выяснили, что системы ИИ не различают предложения с перемешанными словами

ИБ-исследователи не смогли пояснить, сколько именно времени уязвимость была доступна. Специалисты Postuf (в компании своих сотрудников называют «белыми хакерами») продемонстрировали возможность ее эксплуатации журналисту «РБК», получив доступ к его профилю и изменив его данные в системе «Госуслуги Москвы».

Издание «РБК» связалось с ДИТ по поводу этой уязвимости. Представители департамента информационных технологий Москвы опровергли факт наличия подобной уязвимости, так как авторизация в мобильном приложении «Госуслуги Москвы» без указания пароля невозможна. Через некоторое время специалисты Postuf обнаружили, что уязвимость все же была заблокирована на стороне ДИТ и теперь ее нельзя использовать.

Эксперт ИБ-подразделения Softline пояснил «РБК», что специалистам компании также не удалось повторить способ использования уязвимости, как было описано в отчете Postuf. Вероятно, что ее действительно исправил разработчик, или для ее использования необходимо выполнить дополнительные действия, не озвученные Postuf.

ЧИТАТЬ ТАКЖЕ:  Microsoft выпустила обновления для Windows 10 c исправлением микрокода Intel — патчи против уязвимости типа Platypus

Специалисты Group-IB, «Лаборатории Касперского», Positive Technologie отказались комментировать данные из отчета Postuf. Их представители указали, что действия Postuf в данном случае были неэтичны, а об уязвимости нужно было сначала сообщить разработчику, а не в СМИ и рассказывать о ней публично.

Представитель Postuf рассказал «РБК», что сделали это намеренно, так как в обычном случае ДИТ бы просто закрыл уязвимость, а возможность ее использования нельзя было бы подтвердить.

«РКБ» напомнило, что по данным официального сайта мэрии, в 2020 году у мобильного приложения «Госуслуги Москвы» было 2,3 млн пользователей.

ЧИТАТЬ ТАКЖЕ:  Обрушился 305-метровый телескоп Аресибо

В начале января 2021 года ДИТ Москвы разместил тендер стоимостью 185 млн рублей на создание системы хранения персональных данных жителей столицы. База данных будет включать документы граждан, сведения об их работе и доходах, адреса, информацию о родственниках, успеваемости детей в школе и домашних животных. В эту базу данных занесут номера паспортов москвичей, СНИЛС, ИНН, ОМС, транспортные сведения (VIN, ПТС, СТС), данные карт «Тройка».

Эксперты нашли уязвимость в мобильном приложении «Госуслуги Москвы» для Android

Минутка заботы от НЛО

Этот материал мог вызвать противоречивые чувства, поэтому перед написанием комментария освежите в памяти кое-что важное:

ОСТАВЬТЕ ОТВЕТ

Пожалуйста, введите ваш комментарий!
пожалуйста, введите ваше имя здесь