В версии мобильного приложения «Госуслуги Москвы» для платформы Android обнаружили уязвимость. Она позволяла получить доступ к личному кабинету любого пользователя по его телефонному номеру. Об этом со ссылкой на основателя компании Postuf Бекхана Гендаргеноевского пишет в четверг РБК.
По его данным, у мошенников была возможность получить всю информацию, которую пользователь указал на сайте столичных сервисов: Ф.И.О., e-mail, год рождения, номер полиса ОМС и СНИЛС, список движимого и недвижимого имущества, сведения о наличии загранпаспорта, о детях, учащихся в школах, и др.
С помощью номера полиса ОМС и года рождения можно было получить доступ к медицинской информации через систему ЕМИАС. В частности, это сведения о врачах, посещаемых человеком, выписываемых ему рецептах и истории прикрепления к поликлиникам.
Эксперт отмечает, что уязвимость давала возможность даже изменять данные. Однако пользователь не может узнать об этом, поскольку система не предусматривает уведомления о внесении правок в аккаунте.
Гендаргеноевский считает, что с помощью такой информации кардинально навредить человеку нельзя, но можно «потрепать нервы». Например, злоумышленники могли добавить в любой профиль недостоверные данные о супругах, детях, транспортном средстве или недвижимости, вносить некорректные показания счетчиков по ЖКХ, переносить или отменять записи к врачам и прочее.
«Напрямую украсть деньги, [обладая такой информацией], нельзя, хотя можно использовать знания в социальной инженерии и попытаться выманить у человека данные банковской карты», — указал специалист по компьютерной безопасности.
Однако издание добавляет, что в департаменте информационных технологий Москвы (разработчик портала mos.ru) не подтвердили информацию об уязвимости. Там пояснили, что авторизация в приложении «Госуслуги Москвы» невозможна без указания пароля.
Гендаргеноевский в свою очередь уточнил, что после отправки запроса в ДИТ уязвимость была устранена.
Гульназ Астахова
Источник: https://www.osnmedia.ru/
