[Информационная безопасность, Законодательство в IT, IT-компании] Эксперты нашли уязвимость в мобильном приложении «Госуслуги Москвы» для Android
Автор
Сообщение
news_bot ®
Стаж: 6 лет 4 месяца
Сообщений: 27286
![Клик для увеличения](https://linkme.ufanet.ru/box/200x100/ff86262c770de01d5455bb5bdb57ff08.png)
По информации «РБК», специалисты компании Postuf обнаружили уязвимость в мобильном приложении «Госуслуги Москвы» для Android. С ее помощью можно было получить доступ к личному кабинету зарегистрированного в системе пользователя, зная только номер мобильного телефона жертвы. В процессе эксплуатации уязвимости злоумышленники могли не только просматривать персональные данные владельцев аккаунтов, включая ФИО, электронную почту, дату рождения, номера полисов ОМС и СНИЛС, паспортные данные, но и изменять их, например, вводить неправильные госномера автомобилей. Причем пострадавшая сторона не уведомлялась информационной системой о внесении изменений в данные аккаунта и доступе к нему третьих лиц. Сейчас данная уязвимость закрыта разработчиком мобильного приложения — департаментом информационных технологий Москвы (ДИТ Москвы).
ИБ-исследователи не смогли пояснить, сколько именно времени уязвимость была доступна. Специалисты Postuf (в компании своих сотрудников называют «белыми хакерами») продемонстрировали возможность ее эксплуатации журналисту «РБК», получив доступ к его профилю и изменив его данные в системе «Госуслуги Москвы».
Издание «РБК» связалось с ДИТ по поводу этой уязвимости. Представители департамента информационных технологий Москвы опровергли факт наличия подобной уязвимости, так как авторизация в мобильном приложении «Госуслуги Москвы» без указания пароля невозможна. Через некоторое время специалисты Postuf обнаружили, что уязвимость все же была заблокирована на стороне ДИТ и теперь ее нельзя использовать.
Эксперт ИБ-подразделения Softline пояснил «РБК», что специалистам компании также не удалось повторить способ использования уязвимости, как было описано в отчете Postuf. Вероятно, что ее действительно исправил разработчик, или для ее использования необходимо выполнить дополнительные действия, не озвученные Postuf.
Специалисты Group-IB, «Лаборатории Касперского», Positive Technologie отказались комментировать данные из отчета Postuf. Их представители указали, что действия Postuf в данном случае были неэтичны, а об уязвимости нужно было сначала сообщить разработчику, а не в СМИ и рассказывать о ней публично.
Представитель Postuf рассказал «РБК», что сделали это намеренно, так как в обычном случае ДИТ бы просто закрыл уязвимость, а возможность ее использования нельзя было бы подтвердить.
«РКБ» напомнило, что по данным официального сайта мэрии, в 2020 году у мобильного приложения «Госуслуги Москвы» было 2,3 млн пользователей.
В начале января 2021 года ДИТ Москвы разместил тендер стоимостью 185 млн рублей на создание системы хранения персональных данных жителей столицы. База данных будет включать документы граждан, сведения об их работе и доходах, адреса, информацию о родственниках, успеваемости детей в школе и домашних животных. В эту базу данных занесут номера паспортов москвичей, СНИЛС, ИНН, ОМС, транспортные сведения (VIN, ПТС, СТС), данные карт «Тройка».
![Клик для увеличения](https://linkme.ufanet.ru/box/200x100/9c5df57c40e4e4dfa0b9a1fda341bda1.png)
Минутка заботы от НЛО
Этот материал мог вызвать противоречивые чувства, поэтому перед написанием комментария освежите в памяти кое-что важное:
Как написать комментарий и выжить
SPL
- Не пишите оскорбительных комментариев, не переходите на личности.
- Воздержитесь от нецензурной лексики и токсичного поведения (даже в завуалированной форме).
- Для сообщения о комментариях, нарушающих правила сайта, используйте кнопку «Пожаловаться» (если доступна) или форму обратной связи.
Что делать, если: минусуют карму | заблокировали аккаунт
→ Кодекс авторов Хабра и хабраэтикет
→ Полная версия правил сайта
===========
Источник:
habr.com
===========
Похожие новости:
- [Информационная безопасность, IT-инфраструктура, Софт, IT-компании] Microsoft рассказала, как хакеры избежали обнаружения при атаке SolarWinds
- [Информационная безопасность] YooMoney (бывшая Yandex.Деньги) плохо борется с мошенниками
- [Разработка игр, Игры и игровые приставки, IT-компании] Разработчики сверхпопулярной игры Among Us объяснили свою медлительность: их всего четверо
- [Беспроводные технологии, Разработка систем связи, Космонавтика, IT-компании] SpaceX вывела на орбиту более 1000 спутников Starlink
- [Информационная безопасность, Расширения для браузеров] Пользователей The Great Suspender предупреждают: контроль над расширением перешёл в руки неизвестным
- [Развитие стартапа, Законодательство в IT, Гаджеты] В Европе начали преследовать покупателей «не огнемета» Илона Маска
- [Информационная безопасность, IT-инфраструктура, Управление проектами, Софт] Какие проблемы может выявить аудит прав доступа и что с этим делать
- [Законодательство в IT, Игры и игровые приставки, IT-компании] Евросоюз выписал Valve и пяти издателям штрафы на €7,8 млн за геоблокировки
- [Управление разработкой, Управление персоналом, Карьера в IT-индустрии, IT-компании, Удалённая работа] Разработчикам в продуктах делать нечего и до 30 лет надо фигачить
- [Работа с видео, Законодательство в IT] Суд Санкт-Петербурга посмотрел четыре аниме — и запретил их
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_zakonodatelstvo_v_it (Законодательство в IT), #_itkompanii (IT-компании), #_ujazvimost (уязвимость), #_v_mobilnom (в мобильном), #_prilozhenii (приложении), [url=https://torrents-local.xyz/search.php?nm=%23_«gosuslugi_moskvy»&to=0&allw=0&o=1&s=0&f%5B%5D=820&f%5B%5D=959&f%5B%5D=958&f%5B%5D=872&f%5B%5D=967&f%5B%5D=954&f%5B%5D=885&f%5B%5D=882&f%5B%5D=863&f%5B%5D=881&f%5B%5D=860&f%5B%5D=884&f%5B%5D=865&f%5B%5D=873&f%5B%5D=861&f%5B%5D=864&f%5B%5D=883&f%5B%5D=957&f%5B%5D=859&f%5B%5D=966&f%5B%5D=956&f%5B%5D=955]#_«gosuslugi_moskvy» («Госуслуги Москвы»)[/url], #_android, #_informatsionnaja_bezopasnost (
Информационная безопасность
), #_zakonodatelstvo_v_it (
Законодательство в IT
), #_itkompanii (
IT-компании
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 28-Июн 15:20
Часовой пояс: UTC + 5
Автор | Сообщение |
---|---|
news_bot ®
Стаж: 6 лет 4 месяца |
|
![]() По информации «РБК», специалисты компании Postuf обнаружили уязвимость в мобильном приложении «Госуслуги Москвы» для Android. С ее помощью можно было получить доступ к личному кабинету зарегистрированного в системе пользователя, зная только номер мобильного телефона жертвы. В процессе эксплуатации уязвимости злоумышленники могли не только просматривать персональные данные владельцев аккаунтов, включая ФИО, электронную почту, дату рождения, номера полисов ОМС и СНИЛС, паспортные данные, но и изменять их, например, вводить неправильные госномера автомобилей. Причем пострадавшая сторона не уведомлялась информационной системой о внесении изменений в данные аккаунта и доступе к нему третьих лиц. Сейчас данная уязвимость закрыта разработчиком мобильного приложения — департаментом информационных технологий Москвы (ДИТ Москвы). ИБ-исследователи не смогли пояснить, сколько именно времени уязвимость была доступна. Специалисты Postuf (в компании своих сотрудников называют «белыми хакерами») продемонстрировали возможность ее эксплуатации журналисту «РБК», получив доступ к его профилю и изменив его данные в системе «Госуслуги Москвы». Издание «РБК» связалось с ДИТ по поводу этой уязвимости. Представители департамента информационных технологий Москвы опровергли факт наличия подобной уязвимости, так как авторизация в мобильном приложении «Госуслуги Москвы» без указания пароля невозможна. Через некоторое время специалисты Postuf обнаружили, что уязвимость все же была заблокирована на стороне ДИТ и теперь ее нельзя использовать. Эксперт ИБ-подразделения Softline пояснил «РБК», что специалистам компании также не удалось повторить способ использования уязвимости, как было описано в отчете Postuf. Вероятно, что ее действительно исправил разработчик, или для ее использования необходимо выполнить дополнительные действия, не озвученные Postuf. Специалисты Group-IB, «Лаборатории Касперского», Positive Technologie отказались комментировать данные из отчета Postuf. Их представители указали, что действия Postuf в данном случае были неэтичны, а об уязвимости нужно было сначала сообщить разработчику, а не в СМИ и рассказывать о ней публично. Представитель Postuf рассказал «РБК», что сделали это намеренно, так как в обычном случае ДИТ бы просто закрыл уязвимость, а возможность ее использования нельзя было бы подтвердить. «РКБ» напомнило, что по данным официального сайта мэрии, в 2020 году у мобильного приложения «Госуслуги Москвы» было 2,3 млн пользователей. В начале января 2021 года ДИТ Москвы разместил тендер стоимостью 185 млн рублей на создание системы хранения персональных данных жителей столицы. База данных будет включать документы граждан, сведения об их работе и доходах, адреса, информацию о родственниках, успеваемости детей в школе и домашних животных. В эту базу данных занесут номера паспортов москвичей, СНИЛС, ИНН, ОМС, транспортные сведения (VIN, ПТС, СТС), данные карт «Тройка». ![]() Минутка заботы от НЛО Этот материал мог вызвать противоречивые чувства, поэтому перед написанием комментария освежите в памяти кое-что важное: Как написать комментарий и выжитьSPL
Что делать, если: минусуют карму | заблокировали аккаунт → Кодекс авторов Хабра и хабраэтикет → Полная версия правил сайта =========== Источник: habr.com =========== Похожие новости:
Информационная безопасность ), #_zakonodatelstvo_v_it ( Законодательство в IT ), #_itkompanii ( IT-компании ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 28-Июн 15:20
Часовой пояс: UTC + 5