В мобильном приложении «Госуслуги Москвы» эксперты нашли программную уязвимость. Так, на платформе Android, как выяснилось, можно было несанкционированно войти в личный кабинет пользователя, указав всего лишь привязанный телефонный номер абонента. Об этом рассказал основатель компании Postuf Бекхан Гендаргеноевский.

Он отметил, обнаруженная уязвимость не позволяла злоумышленникам нанести какой-либо финансовый ущерб пользователям платформы. Однако через «цифровую брешь» можно было получить доступ ко всей личной информации, которую указал пользователь. Например, это данные электронной почты, дата и год рождения, номер страхового полиса ОМС и СНИЛС, перечень движимого и недвижимого имущества, находящегося в распоряжении пользователя, а также сведения о семье и количестве детей. Кроме того, можно было не просто просматривать персональные данные пользователя, но и редактировать их. Хуже всего то, что для самого пользователя такие изменения остались бы незамеченными, поскольку в системе не предусмотрен механизм уведомлений о внесении поправок в аккаунт.

«Чаще всего, обычно как действуют мошенники? Они звонят клиенту на телефон, представляются сотрудниками Сбера. После этого они сообщают, что служба безопасности банка заблокировала счета пользователя. Чтобы убедить жертву, что звонок действительно исходит из банковской организации, мошенники начинают называть какие-либо личные данные пользователя. Сама уязвимость в “Госуслугах Москвы” не представляет какой-либо сложности. В этом и проблема администрирования. Почему ранее не заметили брешь? Mos.ru, вроде бы, платформа-гигант. Есть множество компаний, которые могли бы провести аудит, и подобная уязвимость наверняка бы обнаружилась. Однако никто почему-то “дыры” и не заметил», – рассказал эксперт.