ОПАСНАЯ УЯЗВИМОСТЬ ПРИЛОЖЕНИЙ ГОСУСЛУГ
Эксперты Компании Postuf об опасной уязвимости в приложении столичных госуслуг, посредством который злоумышленник может получить доступ к аккаунту обладая только мобильном номером пользователя.
При использовании данной уязвимости мобильном приложении «Госуслуги Москвы» для платформы Android злоумышленник мог получить всю информацию, которую пользователь указал на сайте столичных сервисов: Ф.И.О., e-mail, год рождения, номер полиса ОМС и СНИЛС, список движимого и недвижимого имущества, сведения о наличии загранпаспорта, о детях, учащихся в школах, и др.
Дополнительно, если хакеру известен номер полиса ОМС и год рождения, то он может через систему ЕМИАС получить доступ к медицинской информации: каких врачей посещает человек, какие рецепты ему выписываются, история прикрепления к поликлиникам и т.д.
Стоит отметить, что уязвимость дает возможность не только просматривать все данные, но и вносить в них изменения, при этом для владельца аккаунта такие изменения могли оставаться незамеченными довольно длительный срок.
На текущий момент вышеописанная уязвимость была устранена, но существование таких «дыр» в социально значимых сервисах недопустима. Для того, что избежать последствий от использования уязвимостей системы мы предлагаем Нашим Клиентам услугу тестирования на проникновения (пентесты) IT-инфраструктуры Наших Клиентов, чтобы обеспечить полную безопасность конфиденциальных данных Наших Клиентов. В результате проверки Наши Клиенты получают полный список узких мест и стратегический план по развитию системы ИБ.