1 day ago
32
Электронный реестр повесток позволяет украсть данные россиян с «Госуслуг». Для доступа достаточно знать персональный идентификатор пользователя на сервисе государственных услуг, сообщила «Новая газета Европа» со ссылкой на анонимного эксперта в области кибербезопасности.
Зная ID, через уязвимость можно получить информацию о полном имени человека, дате и месте рождения, адресе регистрации, других паспортных данных, СНИЛС, ИНН, о других выданных документах и, например, договорах страхования, пишет «Новая газета Европа». По слова эксперта издания, таким способом можно украсть не только персональные данные людей, включенных в единую базу электронных повесток, но любых имеющих аккаунт на «Гоуслугах», в том числе женщин.
После регистрации на сайте реестрповесток.рф у пользователя появляется возможность отправить API-запрос с ID искомого человека, объяснил эксперт. После нескольких запросов реестрповесток.рф блокирует IP пользователя, но это легко обходится при помощи прокси или VPN, добавил собеседник издания.
Сайт повесток не проверяет, запрашивает пользователь данные о себе или о другом человеке, «из-за чего и возникает уязвимость», — сказал эксперт. Благодаря уязвимости доступ к персональным данным россиян могут получить злоумышленники, предупредил он.
Минцифры не видит на сайте реестра электронных повесток «утечек и уязвимостей», сообщило РИА «Новости». В министерстве заявили, что данные пользователей защищены, а сам портал «невозможно взломать», поскольку для его защиты используется «многоэшелонированный подход».
Реестр повесток начал работать 18 сентября. На сайте говорится, что «проверка единого реестра воинского учета» пока проводится в трех регионах: Рязанской и Сахалинской области, а также Республике Марий Эл. «Для обеспечения защищенного соединения» сайт предлагает пользователю установить российский сертификат безопасности. С помощью такого сертификата силовики могут отслеживать трафик в браузере и мессенджерах.
На сайте реестра сказано, что повестка в военкомат считается врученной либо после подписи адресата на повестке, либо в день отказа от ее получения, либо в день получения бумажного письма с повесткой, либо через семь дней после ее размещения в едином реестре.
Согласно изменившемуся после начала полномасштабной войны законодательству, если не явиться в военкомат по повестке, можно лишиться права управлять транспортом, регистрировать транспорт и недвижимость, получать кредиты, регистрироваться в качестве ИП или самозанятого. Ограничения должны быть сняты только через сутки после визита в военкомат.
Сообщение Эксперт заявил о позволяющей красть данные россиян уязвимости сайта электронных повесток появились сначала на «Холод».
