На новом сайте реестра электронных повесток в России обнаружена серьезная уязвимость, позволяющая получить личную информацию о любом гражданине. Это «Новой газете Европа» сообщил эксперт в области кибербезопасности, пожелавший остаться анонимным.
Для доступа к данным достаточно знать идентификатор пользователя на портале «Госуслуги».
Через уязвимость можно получить следующие данные:
- Полное имя;
- Дату и место рождения;
- Адрес регистрации;
- Паспортные данные;
- СНИЛС и ИНН;
- Информацию о выданных документах и страховках.
Таким образом можно даже украсть персональные данные россиянок, которые по идее не должны были быть включены в реестр. Главное, чтоб у гражданина был аккаунт на «Госуслугах».
После регистрации на сайте через «Госуслуги» под любым подтвержденным аккаунтом у пользователя есть возможность отправить специальный API-запрос, для которого достаточно знать только ID пользователя. После нескольких запросов сайт блокирует IP адрес пользователя — но это легко обходится при помощи прокси или VPN.
Идентификаторы при этом генерируются по предсказуемому алгоритму, что открывает возможность злоумышленникам, перебирая значения ID, получить доступ к персональным данным множества россиян через сайт повесток.
«Сервис повесток не проверяет, запрашивает ли пользователь данные о себе или о другом человеке — из-за чего и возникает уязвимость», — рассказал эксперт.
В России сегодня заработал сайт реестра электронных повесток. Сайт доступен по адрес реестрповесток.рф. Авторизоваться на нем можно через учетную запись на портале «Госуслуг».
Ранее власти этих трех регионов объявляли о запуске с 15 сентября эксперимента по рассылке электронных повесток, получать они их должны были на сайте реестра. «Агентство» обращало внимание , что по состоянию на вечер 16 сентября портал всё еще не работал.
Согласно постановлению правительства, с 1 ноября в России полноценно заработает Единый реестр электронных повесток. Они будут считаться врученными по истечении семи дней после размещения в реестре. В отношении граждан, подлежащих призыву, введут ряд ограничений, включая запрет на выезд из России.
В Министерстве цифрового развития и «Ростелекоме» через два часа после выхода новости заявили, что обнаруженной «Новой-Европа» уязвимости на сайте реестра повесток «не существует».
«Минцифры опровергает информацию об уязвимости на сайте реестра электронных повесток, якобы позволяющей получить персональные данные граждан. <…> На текущий момент подтверждений утечек или уязвимостей не зафиксировано. Взломать портал невозможно», — заявили в ведомстве.
Оба заявления были опубликованы в диапазоне от 23:20 до 23:33 мск 18 сентября. Как показали данные «Новой газеты Европа», указанная нами уязвимость была устранена только примерно в районе 22:30 мск — то есть через час после публикации новости в телеграм-канале «Новой-Европа» (21:30 мск).
Мы установили, что теперь сервис проверяет, совпадает ли ID запрашиваемого пользователя и авторизованного пользователя — и запросить информацию сейчас можно только о себе. После исправления сайт на тот же запрос выдает ошибку 403 (Код ошибки в случае отказа в доступе).
Наши данные подтверждает и тот факт, что издание SOTA смогло повторить наш эксперимент — и пришло к тем же выводам. Свой пост с проверенными данными журналисты опубликовали в 22:11 мск 18 сентября.
Как ранее отмечала «Новая-Европа», этот домен принадлежит компании «РТ-Лабс», связанной с IT-предпринимателем Александром Моносовым. Моносова арестовали в июле 2023 года в рамках уголовного дела против экс-замминистра Минцифры Максима Паршина. Их обвинили в получении и даче взятки в размере 3 млн 750 тысяч рублей.
В июле 2023 года, во время принятия поправок в законы о военной службе, «РТ-Лабс» зарегистрировала домены повесток-реестр.рф и реестрповесток.рф. Эта же компания в апреле 2023 года регистрировала домены для сайтов о контрактной службе в российской армии, среди которых: идивармию.рф, свопоконтракту.рф и контрактвс.рф.
Обновлено 14:00 19 сентября — добавлен ответ Минцифры и комментарий издания по поводу этого