Share This
Связаться со мной
Крути в низ
Categories
//Эксперты нашли уязвимость в мобильном приложении «Госуслуги Москвы» для Android

Эксперты нашли уязвимость в мобильном приложении «Госуслуги Москвы» для Android

21.01.2021Category : My Habr

eksperty nashli ujazvimost v mobilnom prilozhenii gosuslugi moskvy dlja android 39798bf - Эксперты нашли уязвимость в мобильном приложении «Госуслуги Москвы» для Android

По информации «РБК», специалисты компании Postuf обнаружили уязвимость в мобильном приложении «Госуслуги Москвы» для Android. С ее помощью можно было получить доступ к личному кабинету зарегистрированного в системе пользователя, зная только номер мобильного телефона жертвы. В процессе эксплуатации уязвимости злоумышленники могли не только просматривать персональные данные владельцев аккаунтов, включая ФИО, электронную почту, дату рождения, номера полисов ОМС и СНИЛС, паспортные данные, но и изменять их, например, вводить неправильные госномера автомобилей. Причем пострадавшая сторона не уведомлялась информационной системой о внесении изменений в данные аккаунта и доступе к нему третьих лиц. Сейчас данная уязвимость закрыта разработчиком мобильного приложения — департаментом информационных технологий Москвы (ДИТ Москвы).

ИБ-исследователи не смогли пояснить, сколько именно времени уязвимость была доступна. Специалисты Postuf (в компании своих сотрудников называют «белыми хакерами») продемонстрировали возможность ее эксплуатации журналисту «РБК», получив доступ к его профилю и изменив его данные в системе «Госуслуги Москвы».

Издание «РБК» связалось с ДИТ по поводу этой уязвимости. Представители департамента информационных технологий Москвы опровергли факт наличия подобной уязвимости, так как авторизация в мобильном приложении «Госуслуги Москвы» без указания пароля невозможна. Через некоторое время специалисты Postuf обнаружили, что уязвимость все же была заблокирована на стороне ДИТ и теперь ее нельзя использовать.

Эксперт ИБ-подразделения Softline пояснил «РБК», что специалистам компании также не удалось повторить способ использования уязвимости, как было описано в отчете Postuf. Вероятно, что ее действительно исправил разработчик, или для ее использования необходимо выполнить дополнительные действия, не озвученные Postuf.

Специалисты Group-IB, «Лаборатории Касперского», Positive Technologie отказались комментировать данные из отчета Postuf. Их представители указали, что действия Postuf в данном случае были неэтичны, а об уязвимости нужно было сначала сообщить разработчику, а не в СМИ и рассказывать о ней публично.

Представитель Postuf рассказал «РБК», что сделали это намеренно, так как в обычном случае ДИТ бы просто закрыл уязвимость, а возможность ее использования нельзя было бы подтвердить.

«РКБ» напомнило, что по данным официального сайта мэрии, в 2020 году у мобильного приложения «Госуслуги Москвы» было 2,3 млн пользователей.

В начале января 2021 года ДИТ Москвы разместил тендер стоимостью 185 млн рублей на создание системы хранения персональных данных жителей столицы. База данных будет включать документы граждан, сведения об их работе и доходах, адреса, информацию о родственниках, успеваемости детей в школе и домашних животных. В эту базу данных занесут номера паспортов москвичей, СНИЛС, ИНН, ОМС, транспортные сведения (VIN, ПТС, СТС), данные карт «Тройка».

eksperty nashli ujazvimost v mobilnom prilozhenii gosuslugi moskvy dlja android 0c91fce - Эксперты нашли уязвимость в мобильном приложении «Госуслуги Москвы» для Android

Минутка заботы от НЛО

Этот материал мог вызвать противоречивые чувства, поэтому перед написанием комментария освежите в памяти кое-что важное:

  • 1 views
  • 0 Comment

Leave a Reply

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.

Свежие комментарии

    Рубрики

    About Author 01.

    Roman Spiridonov
    Roman Spiridonov

    Привет ! Мне 38 лет, я работаю в области информационных технологий более 4 лет. Тут собрано самое интересное.

    Our Instagram 04.

    Categories 05.

    © Speccy 2020 / All rights reserved

    Связаться со мной
    Close