В Министерстве цифрового развития и «Ростелекоме» заявили, что обнаруженной «Новой-Европа» уязвимости на сайте реестра повесток «не существует». Об этом пишут РИА Новости и ТАСС.
«Минцифры опровергает информацию об уязвимости на сайте реестра электронных повесток, якобы позволяющей получить персональные данные граждан. <…> На текущий момент подтверждений утечек или уязвимостей не зафиксировано. Взломать портал невозможно», — заявили в ведомстве.
Разработчик реестра электронных повесток — «Ростелеком» — также назвал недостоверными сообщения о возможности получить через систему данные пользователей «Госуслуг»:
«Доступ к данным в реестре получают только граждане, использующие единую государственную информационную систему авторизации с обязательным дополнительным подтверждением в виде СМС-сообщения на телефонный номер», — сообщила пресс-служба «Ростелекома» в телеграм-канале.
Оба заявления были опубликованы в диапазоне от 23:20 до 23:33 мск 18 сентября. Как показали данные «Новой газеты Европа», указанная нами уязвимость была устранена только примерно в районе 22:30 мск — то есть через час после публикации новости в телеграм-канале «Новой-Европа» (21:30 мск).
Эти сведения передал нам эксперт по кибербезопасности, пожелавший остаться анонимным — именно он вчера обратил внимание на «брешь» в системе безопасности сайта. Аналитик проводил повторные проверки обнаруженной бреши и после передачи сведений «Новой-Европа».
Ответ сайта на запрос о получении данных до исправления уязвимости (фото 1) и после исправления ошибки (фото 2). Для просмотра второго скришота листайте вправо. Скриншоты: «Новая газета Европа».
Мы установили, что теперь сервис проверяет, совпадает ли ID запрашиваемого пользователя и авторизованного пользователя — и запросить информацию сейчас можно только о себе. После исправления сайт на тот же запрос выдает ошибку 403 (Код ошибки в случае отказа в доступе).
Наши данные подтверждает и тот факт, что издание SOTA смогло повторить наш эксперимент — и пришло к тем же выводам. Свой пост с проверенными данными журналисты опубликовали в 22:11 мск 18 сентября.
Накануне наше издание выяснило, что на сайте реестра электронных повесток в России обнаружена серьезная уязвимость, позволяющая получить личную информацию о любом гражданине.
Через уязвимость можно было узнать полное имя человека, дату и место рождения, адрес регистрации, паспортные данные, номера СНИЛС и ИНН, а также информацию о выданных документах и страховках. Таким образом можно было даже украсть персональные данные россиянок, которые по идее не должны были быть включены в реестр.
Для доступа к информации достаточно было знать идентификатор пользователя на портале «Госуслуги». Идентификаторы генерируются по предсказуемому алгоритму, что открывает возможность злоумышленникам, перебирая значения ID, получить доступ к персональным данным множества россиян
