На сайте электронных повесток России обнаружена серьезная уязвимость. Благодаря этому мошенники могут получить персональные данные россиян

На новом сайте реестра электронных повесток в России обнаружена серьезная уязвимость, позволяющая получить личную информацию о любом гражданине. Это «Новой газете Европа» сообщил эксперт в области кибербезопасности, пожелавший остаться анонимным.
Для доступа к данным достаточно знать идентификатор пользователя на портале «Госуслуги».
Через уязвимость можно получить следующие данные: Полное имя Дату и место рождения Адрес регистрации Паспортные данные СНИЛС и ИНН Информацию о выданных документах и страховках Список персональных данных человека, которые удалось получить при реализации уязвимости сайта электронных повесток. Фото: «Новая газета Европа».
После регистрации на сайте через «Госуслуги» под любым подтвержденным аккаунтом у пользователя есть возможность отправить специальный API-запрос, для которого достаточно знать только ID пользователя. После нескольких запросов сайт блокирует IP адрес пользователя — но это легко обходится при помощи прокси или VPN.
Идентификаторы при этом генерируются по предсказуемому алгоритму, что открывает возможность злоумышленникам, перебирая значения ID, получить доступ к персональным данным множества россиян через сайт повесток.
«Сервис повесток не проверяет, запрашивает ли пользователь данные о себе или о другом человеке — из-за чего и возникает уязвимость», — рассказал эксперт.
В России сегодня заработал сайт реестра электронных повесток. Сайт доступен по адрес реестрповесток.рф. Авторизоваться на нем можно через учетную запись на портале «Госуслуг».
Ранее власти этих трех регионов объявляли о запуске с 15 сентября эксперимента по рассылке электронных повесток, получать они их должны были на сайте реестра. «Агентство» обращало внимание , что по состоянию на вечер 16 сентября портал всё еще не работал.
Согласно постановлению правительства, с 1 ноября в России полноценно заработает Единый реестр электронных повесток. Они будут считаться врученными по истечении семи дней после размещения в реестре. В отношении граждан, подлежащих призыву, введут ряд ограничений, включая запрет на выезд из России.
Как ранее отмечала «Новая-Европа», этот домен принадлежит компании «РТ-Лабс», связанной с IT-предпринимателем Александром Моносовым. Моносова арестовали в июле 2023 года в рамках уголовного дела против экс-замминистра Минцифры Максима Паршина. Их обвинили в получении и даче взятки в размере 3 млн 750 тысяч рублей.
В июле 2023 года, во время принятия поправок в законы о военной службе, «РТ-Лабс» зарегистрировала домены повесток-реестр.рф и реестрповесток.рф. Эта же компания в апреле 2023 года регистрировала домены для сайтов о контрактной службе в российской армии, среди которых: идивармию.рф, свопоконтракту.рф и контрактвс.рф.