Эксперты нашли уязвимость в приложении московских госуслуг

1 month_ago 2

Представитель департамента информационных технологий Москвы (разработчик портала mos.ru) в разговоре с РБК не подтвердил информацию об уязвимости, подчеркнув, что авторизация в мобильном приложении «Госуслуги Москвы» без указания пароля невозможна. В департаменте попытались воспроизвести эксперимент специалистов компании и РБК, но от системы была получена «ошибка авторизации» (представитель департамента в качестве доказательства сопроводил свой ответ для РБК скриншотом). Но представитель Postuf обратил внимание на то, что, судя по скриншоту, при проверке уязвимости ДИТ использовал тот же номер телефона, который Postuf указал в своем техническом отчете и на который не был зарегистрирован аккаунт на «Госуслугах».

После отправки запроса в ДИТ уязвимость была устранена, отметил Гендаргеноевский.

Что известно о Postuf

Гендаргеноевский сообщил, что Postuf была создана в 2017 году и занимается проектами, связанными со сбором данных из открытых источников. Как именно компания использует их, ее основатель не пояснил. Он отметил, что Postuf специально искала утечку, но ее сотрудники являются «белыми хакерами», то есть не используют найденную информацию во вред.

По данным СПАРК, ООО «Постаф» было зарегистрировано в 2020 году. Его единственный владелец — Суламбек Айдаев. РБК обратился к компании по указанным на ее сайте контактам, ответивший на запрос сотрудник подтвердил, что Гендаргеноевский является единственным основателем Postuf.

В середине января представитель Postuf заявил об обнаружении уязвимости в приложении ретейлера «Лента». Как утверждали в компании, она позволяла получать доступ к аккаунтам пользователей и управлять ими, но представитель «Ленты» проблему отрицал.

Что говорят эксперты

Руководитель департамента аудита информационной безопасности Infosecurity a Softline Company Сергей Ненахов сообщил, что специалистам компании не удалось воспроизвести уязвимость, описанную в отчете Postuf. Он предположил, что либо она уже была исправлена, либо для ее использования нужна была дополнительная информация, не указанная специалистами. По его мнению, если уязвимость действительно существовала и злоумышленники успели ее использовать, указанные в личном кабинете персональные данные было бы сложно применить для каких-то крупных мошеннических операций. «Большинство значимых операций должно сопровождаться личным визитом в МФЦ, а платежной информации в личном кабинете «Госуслуг» не содержится», — указал Ненахов. Он рекомендует пользователям настроить в своих аккаунтах двухфакторную идентификацию, «которая защитит от возможного несанкционированного доступа к личному кабинету». Эксперт по информационной безопасности Алексей Лукацкий также считает, что злоумышленники могли получить доступ к большому объему персональных данных, но нанести серьезный финансовый ущерб с помощью доступа к аккаунту на «Госуслугах» не получилось бы.

Представители Group-IB, «Лаборатории Касперского», Positive Technologies и других крупных компаний, занимающихся кибербезопасностью, отказались комментировать информацию, предоставленную Postuf. Собеседник РБК в одной из них указал, что «этичные хакеры и представители компаний, занимающихся информбезопасностью, найдя уязвимость, сначала сообщают о ней владельцу сайта, на котором она обнаружена, и только после ее ликвидации делают историю публичной».

Гендаргеноевский на вопрос, почему компания напрямую не обратилась к разработчикам mos.ru, пояснил, что в таком случае они бы просто закрыли уязвимость и факт ее существования нельзя было бы доказать.

По данным официального сайта мэрии, в 2020 году у мобильного приложения «Госуслуги Москвы» было 2,3 млн пользователей, за год этот показатель вырос более чем на 50%. Самыми популярными сервисами в прошлом году были передача показаний счетчиков электроэнергии и воды, оплата коммунальных услуг и просмотр электронных квитанций, говорится на портале.

Авторы

Владислав Скобелев, Анна Балашова

read-entire-article
Яндекс.Метрика