В приложении «Госуслуги Москвы» нашли уязвимость

В версии мобильного приложения «Госуслуги Москвы» для платформы Android обнаружили уязвимость. Она позволяла получать доступ к личному кабинету любого пользователя только по его телефонному номеру. Об этом со ссылкой на основателя компании Postuf Бекхана Гендаргеноевского пишет в четверг РБК.

По его данным, у мошенников была возможность получить все данные, которые жители столицы указали на сайте сервисов. Это Ф.И.О., год рождения, адрес электронной почты, номер полиса ОМС и СНИЛС, сведения об имуществе, о загранпаспорте, о других членах семьи и т.д.

С помощью номера полиса ОМС и года рождения можно было получить доступ к медицинской информации через систему ЕМИАС. В частности, это сведения о врачах, посещаемых человеком, выписываемых ему рецептах и истории прикрепления к поликлиникам, пояснил эксперт.

Он отметил, что уязвимость давала возможность даже изменять данные. Однако пользователь не может узнать об этом, поскольку в системе не предусмотрены уведомления о внесении правок в аккаунте, уточнил Гендаргеноевский.

Он считает, что с помощью такой информации кардинально навредить человеку нельзя, но можно «потрепать нервы». Например, злоумышленники могли добавить в любой профиль недостоверные данные о супругах, детях, транспортном средстве или недвижимости, вносить некорректные показания счетчиков по ЖКХ, переносить или отменять записи к врачам и прочее.

«Напрямую украсть деньги, [обладая такой информацией], нельзя, хотя можно использовать знания в социальной инженерии и попытаться выманить у человека данные банковской карты», — предположил собеседник издания.

Однако СМИ добавляет, что в департаменте информационных технологий Москвы (разработчик портала mos.ru) не подтвердили информацию об уязвимости. Там пояснили, что авторизация в приложении «Госуслуги Москвы» невозможна без указания пароля. Гендаргеноевский в свою очередь уточнил, что после отправки запроса в ДИТ уязвимость была устранена.