Новости В приложении «Госуслуги Москвы» найдена критическая уязвимость

Marat_1162

Стаж на ФС с 2014 г
Private Club
Старожил
Migalki Club
Меценат💰️
Регистрация
25/3/16
Сообщения
4.649
Репутация
9.166
Реакции
22.743
RUB
0
Депозит
3 500 рублей
Сделок через гаранта
4
1611228102604.jpeg

ИБ-специалисты компании Postuf рассказали о выявлении уязвимости в приложении «Госуслуги Москвы», благодаря которой злоумышленники могли заполучить доступ к учетной записи пользователей, если знали их телефонный номер, используемый при авторизации. На данный момент ошибка исправлена разработчиками.

В приложении «Госуслуги Москвы» для андроид-устройств была выявлена уязвимость, позволяющая всем желающим попасть в учетную запись любого пользователя, указав телефонный номер для авторизации. В личном кабинете пользователя хакеры могли беспрепятственно получить всю конфиденциальную информацию о москвичах:

ФИО;
год рождения;
дети;
информация о загранпаспорте; информация о недвижимости
и другом имуществе, находящимся в собственности; номер полиса ОМС и т. д.

С помощью обнаруженной уязвимости была возможность и просмотреть, и изменить данные пользователя. Любые изменения, внесенные в аккаунт, для самого пользователя оставались бы незаметными, потому что никаких уведомлений об этом не предусмотрено системой.

По поводу уязвимости в приложении «Госуслуги Москвы» высказался Бекхан Гендаргеноевский, гендиректор компании Postuf: «Сейчас сложно говорить о том, сколько именно времени существовала ошибка и успел ли кто-то ей воспользоваться. Но вряд ли можно было кому-то сильно навредить, располагая подобной информацией.

Даже временные изменения, внесенные в аккаунт пользователя, никакого ущерба ему бы не нанесли. Но сам факт существования такой уязвимости в подобном приложении является удручающим. Даже зайдя в чужой профиль, не получится напрямую украсить деньги у человека. Хотя полученную информацию можно применять в методах социальной инженерии, пытаясь узнать у жертвы банковские данные
».

В ДИТ Москвы никак не прокомментировали наличие в приложении «Госуслуги Москвы» критической уязвимости. Представители ведомства заявили, что «авторизоваться в приложении «Госуслуги Москвы» без указания пароля, зная только номер мобильного телефона пользователя, невозможно».

Интересно, что для подтверждения своих слов представители ДИТ Москвы решили повторить эксперимент компании Postuf и система выдала «ошибку авторизации». Соответствующий скриншот был направлен в РБК и Postuf. В ответ на это сотрудник компании Postuf отметил, что во время проверки уязвимости представители ДИТ Москвы использовали тот же телефонный номер, который компания Postuf указала в своём техническом отчете, а он не был связан ни с одним из аккаунтов на «Госуслугах Москвы».

Бекхан Гендаргеноевский рассказал, что после предоставления технического отчета в ДИТ Москвы уязвимость приложения была устранена в короткий срок.

Источник:
 
Сверху Снизу