С ее помощью можно было не только получать доступ к данным, но и менять их.
Специалисты компании Postuf сообщили об уязвимости в приложении столичных госуслуг, с помощью которой можно было получить доступ к аккаунту, зная только мобильный номер пользователя. К моменту публикации «дыра» уже была закрыта.
В мобильном приложении «Госуслуги Москвы» для платформы Android существовала уязвимость, которая позволяла получить доступ к личному кабинету любого пользователя, указав лишь его номер мобильного телефона. Об этом РБК сообщил основатель компании Postuf Бекхан Гендаргеноевский. Это давало возможность получить всю информацию, которую пользователь указал на сайте столичных сервисов: Ф.И.О., e-mail, год рождения, номер полиса ОМС и СНИЛС, список движимого и недвижимого имущества, сведения о наличии загранпаспорта, о детях, учащихся в школах, и др. Зная номер полиса ОМС и год рождения, можно было через систему ЕМИАС получить доступ к медицинской информации: каких врачей посещает человек, какие рецепты ему выписываются, история прикрепления к поликлиникам и т.д.
Уязвимость давала возможность не просто просматривать, но и менять данные, уточнил эксперт. В качестве подтверждения компания с согласия корреспондента РБК предложила внести в его профиль через «Госуслуги Москвы» информацию о несуществующем автомобиле. Эти данные почти сразу отобразились на его странице. Причем для самого пользователя такие изменения могли остаться незаметными, потому что в системе не предусмотрены уведомления о внесении правок в аккаунте.
Гендаргеноевский затруднился сказать, как давно существовала эта уязвимость. По его мнению, кардинально навредить кому-либо, обладая этой информацией, нельзя. Однако можно «потрепать человеку нервы», добавив в его профиль информацию о супругах или детях, которых у него нет, о транспортном средстве или недвижимости, которыми он не владеет, а также можно было вносить некорректные показания счетчиков по ЖКХ, переносить или отменять записи к врачам и др., отметил основатель Postuf.
«Напрямую украсть деньги, [обладая такой информацией], нельзя, хотя можно использовать знания в социальной инженерии и попытаться выманить у человека данные банковской карты», — указал специалист по компьютерной безопасности. Он также отметил, что, поскольку в системе нет ограничений на количество запросов доступа к аккаунтам, запрашивая так называемые красивые номера, можно было получить информацию «о ряде известных личностей, которые, как правило, обладают подобными номерами».
Представитель департамента информационных технологий Москвы (разработчик портала mos.ru) в разговоре с РБК не подтвердил информацию об уязвимости, подчеркнув, что авторизация в мобильном приложении «Госуслуги Москвы» без указания пароля невозможна. В департаменте попытались воспроизвести эксперимент специалистов компании и РБК, но от системы была получена «ошибка авторизации» (представитель департамента в качестве доказательства сопроводил свой ответ для РБК скриншотом). Но представитель Postuf обратил внимание на то, что, судя по скриншоту, при проверке уязвимости ДИТ использовал тот же номер телефона, который Postuf указал в своем техническом отчете и на который не был зарегистрирован аккаунт на «Госуслугах».
После отправки запроса в ДИТ уязвимость была устранена, отметил Гендаргеноевский.
Что говорят эксперты
Руководитель департамента аудита информационной безопасности Infosecurity a Softline Company Сергей Ненахов сообщил, что специалистам компании не удалось воспроизвести уязвимость, описанную в отчете Postuf. Он предположил, что либо она уже была исправлена, либо для ее использования требовалась дополнительная информация, не указанная специалистами. По его мнению, если уязвимость действительно существовала и злоумышленники успели ее использовать, указанные в личном кабинете персональные данные было бы сложно применить для каких-то крупных мошеннических операций. «Большинство значимых операций должно сопровождаться личным визитом в МФЦ, а платежной информации в личном кабинете «Госуслуг» не содержится», — указал Ненахов. Он рекомендует пользователям настроить в своих аккаунтах двухфакторную идентификацию, «которая защитит от возможного несанкционированного доступа к личному кабинету». Эксперт по информационной безопасности Алексей Лукацкий также считает, что злоумышленники могли получить доступ к большому объему персональных данных, но нанести серьезный финансовый ущерб с помощью доступа к аккаунту на «Госуслугах» не получилось бы.
Представители Group-IB, «Лаборатории Касперского», Positive Technologies и других крупных компаний, занимающихся кибербезопасностью, отказались комментировать информацию, предоставленную Postuf. Собеседник РБК в одной из них указал, что «этичные хакеры и представители компаний, занимающихся информбезопасностью, найдя уязвимость, сначала сообщают о ней владельцу сайта, на котором она обнаружена, и только после ее ликвидации делают историю публичной».
Гендаргеноевский в ответ на вопрос, почему компания напрямую не обратилась к разработчикам mos.ru, пояснил, что в таком случае они бы просто закрыли уязвимость и факт ее существования нельзя было бы доказать.
По данным официального сайта мэрии, в 2020 году у мобильного приложения «Госуслуги Москвы» было 2,3 млн пользователей, за год этот показатель вырос более чем на 50%. Самыми популярными сервисами в прошлом году были передача показаний счетчиков электроэнергии и воды, оплата коммунальных услуг и просмотр электронных квитанций, говорится на портале.
Владислав Скобелев, Анна Балашова