Персональные данные нарушителей карантинного режима в Москве оказались в прямом доступе на интернет-площадках для сверки и оплаты штрафов. Среди них – фамилия, имя, отчество нарушителей, а также серия и номер паспорта. Данную информацию может найти любой желающий пользователь по уникальному идентификатору начисления штрафов. Всего в сетевом доступе оказалась информация по 35 000 нарушителей.
Сервисы оплаты штрафов не имеют необходимой защиты от утечки персональных данных. Чтобы получить информацию, достаточно использовать самую простую программу для взлома, отмечают специалисты по кибербезопасности. В связи с этой ситуацией в Правительстве Москвы рекомендуют оштрафованным москвичам не выкладывать в сеть скриншоты документов со штрафными санкциями, а также не передавать номера-идентификаторы третьим лицам.
Как заявил глава департамента системных проектов компании Group-IB Антон Фишман, проблемы с защитой могут возникать у внешних сервисов, не связанных с официальным порталом госуслуг, но взаимодействующих с госорганами (ГИБДД, налоговой инспекцией, МЧС и т.п.) через Государственную информационную систему о государственных и муниципальных платежах (ГИС ГМП).
«Образно говоря, эти сервисы представляют собой внешние платежные шлюзы, благодаря которым нарушители могут проверить и оплатить выписанные ранее различными госорганами штрафные санкции. Проблема заключается в том, что разработчики данных сервисов практически не уделяют внимания кибербезопасности и защите платформ от ботов. К тому же, проверить сумму штрафных санкций или оплатить штраф на этих сервисах доступно без авторизации, что повышает уровень их уязвимости.
Поэтому государственные органы, которые разрешают таким сайтам осуществлять взаимодействие через ГИС ГМП, должны предъявлять жесткие требования по защите к разработчикам платформ. Либо же они должны сами обеспечивать защиту данных на уровне интерфейсов», – рассказал Антон Фишман.