В приложении «Госуслуги Москвы» найдена критическая уязвимость

Дата: 21.01.2021. Автор: Артем П. Категории: Новости по информационной безопасности

ИБ-специалисты компании Postuf рассказали о выявлении уязвимости в приложении «Госуслуги Москвы», благодаря которой злоумышленники могли заполучить доступ к учетной записи пользователей, если знали их телефонный номер, используемый при авторизации. На данный момент ошибка исправлена разработчиками.

В приложении «Госуслуги Москвы» для андроид-устройств была выявлена уязвимость, позволяющая всем желающим попасть в учетную запись любого пользователя, указав телефонный номер для авторизации. В личном кабинете пользователя хакеры могли беспрепятственно получить всю конфиденциальную информацию о москвичах:

  • ФИО;
  • год рождения;
  • дети;
  • информация о загранпаспорте;
  • информация о недвижимости и другом имуществе, находящимся в собственности;
  • номер полиса ОМС и т. д.

С помощью обнаруженной уязвимости была возможность и просмотреть, и изменить данные пользователя. Любые изменения, внесенные в аккаунт, для самого пользователя оставались бы незаметными, потому что никаких уведомлений об этом не предусмотрено системой.

По поводу уязвимости в приложении «Госуслуги Москвы» высказался Бекхан Гендаргеноевский, гендиректор компании Postuf: «Сейчас сложно говорить о том, сколько именно времени существовала ошибка и успел ли кто-то ей воспользоваться. Но вряд ли можно было кому-то сильно навредить, располагая подобной информацией. Даже временные изменения, внесенные в аккаунт пользователя, никакого ущерба ему бы не нанесли. Но сам факт существования такой уязвимости в подобном приложении является удручающим.

Даже зайдя в чужой профиль, не получится напрямую украсить деньги у человека. Хотя полученную информацию можно применять в методах социальной инженерии, пытаясь узнать у жертвы банковские данные».

В ДИТ Москвы никак не прокомментировали наличие в приложении «Госуслуги Москвы» критической уязвимости. Представители ведомства заявили, что «авторизоваться в приложении «Госуслуги Москвы» без указания пароля, зная только номер мобильного телефона пользователя, невозможно».

Интересно, что для подтверждения своих слов представители ДИТ Москвы решили повторить эксперимент компании Postuf и система выдала «ошибку авторизации». Соответствующий скриншот был направлен в РБК и Postuf. В ответ на это сотрудник компании Postuf отметил, что во время проверки уязвимости представители ДИТ Москвы использовали тот же телефонный номер, который компания Postuf указала в своём техническом отчете, а он не был связан ни с одним из аккаунтов на «Госуслугах Москвы».

Бекхан Гендаргеноевский рассказал, что после предоставления технического отчета в ДИТ Москвы уязвимость приложения была устранена в короткий срок.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Поделиться ссылкой

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *