Компания Postuf, специализирующаяся на кибербезопасности, обнаружила опасную уязвимость в мобильном приложении «Госуслуги Москвы» для Android.
Уязвимость позволяла с помощью номера телефона получить доступ к личному кабинету любого пользователя. Отмечается, что на момент публикации эту «дыру» уже закрыли в приложении.
С помощью этой уязвимости злоумышленники могли получить всю информацию, указанную пользователем на сайте московских сервисов. В том числе, фамилию, имя и отчество, адрес электронной почты, год рождения, номер полиса ОМС и СНИЛС, список движимого и недвижимого имущества, сведения о наличии загранпаспорта, о детях, учащихся в школах, и так далее.
При этом, имея на руках номер полиса ОМС и год рождения, через систему ЕМИАС можно получить доступ к медицинской информации. Например, каких врачей посещает человек, выписанные ему рецепты и историю прикрепления к поликлиникам.
Доступ к личному кабинету позволял также изменить данные пользователя. В качестве демонстрации представитель Postuf внёс в профиль корреспондента РБК информацию о несуществующем автомобиле и она почти сразу появилась на странице пользователя.
:no_upscale()/https://cdn.ixbt.site/ixbt-data/5YYy7XKBw8/covers/30DbHYS3mRL4fpBg8N8HKgKeZLot0yA6435BiYNX.jpg)
:no_upscale()/https://cdn.ixbt.site/ixbt-data/yII5ahHJSE/covers/rP0dKw8IybtHxSBGUjSptw1O2LYv4eToExCq7cDC.jpg)
:no_upscale()/https://cdn.ixbt.site/ixbt-data/glbzKoVx1G/covers/1YyuaVOLDi3ajFSCRo5hFH59ptzd5XzlXvz4Qxjm.jpg)
34 комментария
Добавить комментарий
так что лучше нам и не знать как оно всё устроено — крепче будем спать…
Ответ Cheetah X-15 на комментарий
Теоретически — над защитой такой базы должны работать одни из лучших специалистов. Чтоб хотя бы подобные дыры исключить «просто по номеру можно......»
Практически — наверное, страшно узнать :)
Не исключено, что тупо «по тендеру (аукциону) — кто меньшую цену дал, тот и выиграл, требования к профессионализму и стажу работы запрещены». А далее исполнителей за доширак нанять и готово.
PS
Дыра-то наверное не в приложении, а в сервисе. Раз через приложение можно было «по номеру» зайти — значит сервис позволял без авторизации коннектиться.
А в новости сказано, что закрыли в приложении. Получается, сам способ остался + старые версии приложения позволяют использовать уязвимость? Или журналисты напутали, дыру закрыли в сервисе.
Ну, а если там кровавый аутсорс с контролем в исполнении тех самых «высокооплачиваемых руководителей» — вообще туши свет.
зарплаты и исполнители.
российским футболистам расскажите о связи качества работ с зарплатой.
Есть всего 2 вида мотивации:
морковка спереди
и
морковка сзади.
пока за дыры в безопасности не начнут Наказывать исполнителей И руководителей — так и будет.
Опять же, это снова вопрос спроса и предложения, на что я и намекал в посте выше. Вы найдите тех, кто играет лучше за меньшие (да или за те же) деньги — чёт их маловато, странное дело )) А трындёж про «да я не хуже могу» оставьте для пивасика с друзьями.
Ну а что касается
наших барановразрабов — ну и ищите готовых работать за 120к и морковку сзади, успехов. Я как бы намекаю, что тут есть связь, но Вы пока не улавливаете.следующий шаг, рассказать, что МММ и биткоэн — полезнные продукты, раз позволяют конкретным правильным пацанам набивать свои карманы.
нет связи.
потому что нет цели.
пока цветовую дифференциацию штанов не введут,
у Госуслуг и РЖД нет будущего.
Вы не понимаете. Когда я говорю про индустрию — имеется в виду, что она обслуживает конкретную массовую потребность. В данном случае — в развлечениях.
Кидал, конечно, можно назвать индустрией, но на мой вкус это звучит диковато.
> у Госуслуг и РЖД нет будущего.
Обсудим этот вопрос через 20 лет.
конкретная массовая потребность кидальной индустрии — желание человеков быть обманутыми в погоне за золотым призраком.
Это можно назвать идиотизмом, можно недостатком IQ, можно неумением оценивать риски, можно отсутствием критического мышления или здравого смысла.
Но желания быть обманутыми там нет.
Жадность — это непомерное желание удовлевторить какое-либо желание.
В применении к потребительским пирамидкам — желание скоропостижного обогащения (при этом всем участникам понятно, что за счёт других).
При этом минимальный IQ (как умение решать типовые задачи с минимальным уровнем эрудиции может тут помочь?) и наличие непрокачанной критичности — не заменяют здравый смысл, верно.
Но все участники в недежде, что сермяжная житейская правда вдруг не сработает.
Потэтому я и уравниваю желание наживиться за счёт других — с желанием быть обманутыми, причём по крупному (ср. «риск по ставкам банка»).
По сути — участие человеков в любом процессе с участием второй сигнальной системы — это удовлетворение желания быть обманутым.
Поэтому и роскошь человеческого общения так дорога.
Получается, безопаснее на подобных сервисах указывать только строго обязательные данные, а остальные вводить только при получении услуг и удалять потом. Неудобнее, но безопаснее.
Даже вот «утечка ликвидирована» хорошо — но это мало поможет тем, чьи данные уже слиты.
Т.е. при желании оценочную инфу собрать можно.
Но в целом — беда, да.
А сейчас всё стало проще и быстрее. В цифровой среде не может быть всё без сбоев, поэтому ничего удивительного данной новости не вижу.
Ответ 206208836@vkontakte на комментарий
Это не сбой, это недопустимая халатность. Понятно, что стопроцентную абсолютную защиту выстроить сложно, но конкретно по подобным «ошибкам» оправдания недопустимы.
Опять же последствия. Одно дело «что-то не работает» — бывает, подождали, исправили. Без сбоев действительно, почти невозможно.
Другое — утечка данных — это «отменить» гораздо сложнее. Закрыть дыру да, а что делать тем, чьи данные попали в чужие руки?
Должна быть ответственность, а не просто «ну извините».
Плюс неплохо бы предусмотреть возможность усиленной защиты в критичных сервисах — госуслуги, банковские и т.д. Кому безопасность — выберет ее, кому «ой, сложно как, сделайте попроще» — будет рисковать только своими данными.
Добавить комментарий