В Android-версии мобильного приложения «Госуслуги Москвы» нашлась уязвимость, с помощью которой потенциальный злоумышленник мог получить доступ к аккаунту гражданина, располагая при этом лишь телефонным номером последнего. В настоящий момент разработчики уже пропатчили брешь.
О проблеме безопасности рассказали исследователи из компании Postuf. По их словам, любой желающий мог получить доступ к личному кабинету другого пользователя, указав всего лишь номер его телефона.
Другими словами, в случае успешной эксплуатации уязвимости в руки злоумышленника или любопытного гражданина попадали следующие данные: ФИО, адрес электронной почты, год рождения, номер СНИЛС и ОМС, список имущества, а также информация о загранпаспорте и детях. Именно эти сведения содержатся в личном кабинете приложения «Госуслуги Москвы».
Как отметили сотрудники РБК, ознакомившиеся с выводами Postuf, с помощью номера полиса ОМС можно было получить доступ к медицинской информации россиянина. Для этого достаточно было воспользоваться системой ЕМИАС. Здесь речь идёт уже о крайне личных данных: список врачей, которых посещает гражданин, какие рецепты он получает и тому подобное.
При этом с помощью выявленной бреши можно было не только просмотреть данные в госуслугах, но и отредактировать их. Для самой жертвы такие манипуляции остались бы незамеченными.
Как подчеркнули представители Postuf, разработчики устранили уязвимость после отправки соответствующего запроса в ДИТ.
Источник: anti-malware