Сообщение о наличии в приложении Госуслуг столицы уязвимости, которая давала возможность получить по номеру мобильного телефона человека доступ к его аккаунту, поступило от специалистов Postuf. Проблема уже решена, рассказывает РБК.

Б. Гендаргеноевский, основатель Postuf, рассказал журналистам о том, что в «Госуслугах Москвы», приложении для мобильных устройств, работающем на Android, была уязвимость. Благодаря ей мошенники могли войти в ЛК практически каждого пользователя. Для этого было нужно только указать принадлежащий ему мобильный номер телефона. Уязвимость позволяла завладеть всеми сведениями, указанными человеком на ресурсе: фамилию, имя и отчество, адрес почты, дату рождения, номера СНИЛС и ОМС, перечень имущества, информация о том, есть ли загранпаспорт, информация о наличии несовершеннолетних детей и прочее. Имея в распоряжении номер ОМС и дату рождения, была возможность получить и информацию медицинского характера через ЕМИАС, в частности, каких специалистов человек посещает, к какой поликлинике он прикреплен, какие ему выписывались рецепты и так далее.

Эксперт отметил, что эта уязвимость позволяла не только увидеть данные, но и изменить их. Специалисты предложили корреспонденту издания РБК на себе проверить уязвимость. С его согласия через это приложение в профиль внесли сведения об автомобиле, которого нет, и они тут же появились на его личной странице. А так как система не уведомляет граждан о том, что в аккаунте появились правки, человек вообще мог не увидеть эти изменения.

Насколько давно эта уязвимость существовала, эксперт сказать не смог. Он считает, что, имея данную информацию, кому-то принести серьезный вред не получится. Но заставить нервничать человека можно, если добавить данные о детях и супругах, которых нет, о несуществующих недвижимости и транспорте. Кроме того, можно было, со слов эксперта, вносить неправильные показания по счетчикам, отменять или перенести запись к доктору и прочее.

Специалист по кибербезопасности отметил, что этой информации недостаточно для того, чтобы со счета человека похитить напрямую его средства. Но ее может быть вполне достаточно, чтобы, применив методы социнженерии, получить у владельца данные банковской карты. Он добавил, что так как система не ограничивает число запросов на доступ к аккаунтам, была возможность получить сведения об известных людях путем запроса «красивых номеров». Они, зачастую, и являются их обладателями.

Данные об уязвимости не подтвердил представитель департамента IT-технологий столицы (разработчик сервиса mos.ru). Он отметил, что авторизоваться в приложении госуслуг можно только в случае введения пароля. Чтобы разобраться в вопросе в ДИТ попытались воспроизвести уже проведенный компанией эксперимент, в котором участвовал корреспондент, но система выдала «ошибку авторизации». В качестве доказательства в департаменте сделали скриншот. Специалист Postuf, изучив скриншот, пояснил, что для проверки департамент взял телефонный номер из техотчета компании, а на него в «Госуслугах» аккаунт не зарегистрирован.

Гандергеноевский указал, что, после того, как в ДИТ был отправлен запрос, уязвимость устранили.

Что мы знаем о компании Postuf

Из рассказа Гендаргеноевского следует, что компанию создали в 2017 г. она специализируется на проектах, которые связаны со сбором сведений из источников открытого типа. он не пояснил, каким образом используются компанией эти данные. Основатель добавил, что компания искала специально утечку, но ее специалисты – это «белые хакеры», а значит полученные сведения они во вред не используют.

Согласно сведениям СПАРК, зарегистрировано ООО «Постаф» в прошлом году, а его владельцем, причем, единственным, выступает Суламбек Айдаев. По имеющимся на сайте компании контактам, РБК был отправлен запрос. Сотрудник компании в ответе указал, что единственным создателем Postuf является Гендаргеноевский.

Компания в середине этого месяца сделала заявление о выявлении уязвимости в мобильном приложении «Лента», которое давало возможность не только войти в аккаунт пользователя, но и вносить в данные поправки. Наличие этой уязвимости полностью отрицалось представителем ретейлера.

Мнение экспертов

С. Ненахов, начальник департамента кибербезопасности Infosecurity a Softline Company, рассказал, что их специалисты уязвимость, которую описали в своем отчете сотрудники Postuf, воспроизвести не смогли. Он отметил, что есть два варианта: уязвимость уже исправили или для ее применения были необходимы дополнительные сведения, которые специалисты не указали. Ненахов считает, что, если эта уязвимость на самом деле существовала и мошенники ее использовать в своих целях успели, размещенные в ЛК личные данные применить для серьезных мошеннических действий было бы непросто. Руководитель департамента отметил, что большая часть важных операций обязаны осуществляться при личном посещении МФЦ, а в ЛК «Госуслуг» платежные данные не указываются. Пользователям он советует настроить двухфакторную идентификацию в собственных аккаунтах, которая станет достаточно надежной защитой от доступа к ЛК третьих лиц. А. Лукацкий, эксперт по кибербезопасности, тоже уверен в том, что у мошенников могла быть возможность получить внушительный объем личной информации, но они не смогли бы нанести людям серьезный вред финансового характера.  

Представители ряда крупных организаций, таких как Positive Technologies, «Лаборатория Касперского», Group-IB, специализирующихся на вопросах кибербезопасности, сведения, озвученные Postuf, комментировать не стали. В одной из этих организаций отметили, что специалисты компаний и этичные хакеры, работающие в сфере кибербезопасности, при обнаружении уязвимости в первую очередь сообщают об этом владельцу ресурса, на котором она выявлена, затем, после ее устранения, обнародуют информацию.

Гандергеноевский пояснил, почему его компания не обратилась напрямую к разработчикам портала mos.ru. с его слов следует, что тогда бы уязвимость закрыли и доказать, что она действительно существовала, было бы невозможно.

Согласно данным сайта столичной мэрии, у «Госуслуг Москвы» в прошлом году было 2 300 000 пользователей, а сейчас показатель увеличился более, чем вдвое. Наиболее востребованными сервисами в 2020 г. были просмотр квитанций, оплата услуг ЖКХ, передача показаний счетчиков воды и электричества.