В московском приложении госуслуг нашли опасную уязвимость

21 января 2021 года

Компания Postuf обнаружила в мобильном приложении "Госуслуги Москвы" для OC Android уязвимость, которая позволяла получить доступ к личному кабинету любого пользователя, указав лишь его номер мобильного телефона. Об рассказал РБК основатель Postuf Бекхан Гендаргеноевский.

По его словам, уязвимость давала возможность получить все данные гражданина, указанные в его личном кабинете, включая имя, дату рождения, адрес электронной почту, номер СНИЛС, сведения об имуществе и т.д. При этом указанные данные можно было не только просматривать, но и менять. Для демонстрации существования уязвимости в Postuf внесли в профиль журналиста РБК информацию о несуществующем автомобиле.

Как давно в приложении существовала эта уязвимость, неизвестно, а Гендаргеноевский отметил, что нанести серьезный вред она не могла, хотя и позволяла "потрепать человеку нервы". Например, злоумышленник мог добавить в профиль жертвы информацию о несуществующих супругах или детях, а также внести некорректные показания счетчиков воды и электричества.

"Напрямую украсть деньги, [обладая такой информацией], нельзя, хотя можно использовать знания в социальной инженерии и попытаться выманить у человека данные банковской карты", - заявил Гендаргеноевский, добавив, что отсутствие ограничений на количество запросов для входа в аккаунты позволяло получить информацию об известных людях с красивыми номерами мобильных телефонов.

В департаменте информационных технологий Москвы, куда журналисты обратились за комментарием, опровергли существование описанной уязвимости и подчеркнули, что авторизация в мобильном приложении "Госуслуги Москвы" без указания пароля невозможна. В ведомстве также попытались повторить эксперимент с демонстрацией уязвимости, но система сообщила об ошибке авторизации. При этом Гендаргеноевский заявил, что в приложенном в качестве доказательства скриншоте был указан номер телефона из технического отчета Postuf - на этот телефон не был зарегистрирован аккаунт в приложении. По словам основателя Postuf, уязвимость была устранена после обращения журналистов в ДИТ.

Глава департамента аудита информационной безопасности Infosecurity a Softline Company Сергей Ненахов рассказал, что специалистам компании не удалось воспроизвести уязвимость по примеру коллег из Postuf. Он предположил, что ее к тому времени уже исправили или же в Postuf предоставили не все данные об использовании этой уязвимости. Для защиты аккаунтов Ненахов порекомендовал пользователям включить в приложении двухфакторную идентификацию.

В свою очередь представители компаний Group-IB, "Лаборатории Касперского", Positive Technologies и ряда других компаний, работающих в сфере кибербезопасности, не стали комментировать изыскания Postuf. В одной из этих компаний подчеркнули, что "этичные хакеры и представители компаний, занимающихся информбезопасностью, найдя уязвимость, сначала сообщают о ней владельцу сайта, на котором она обнаружена, и только после ее ликвидации делают историю публичной".

В ответ на этот упрек Гендаргеноевский пояснил, что в таком случае разработчики приложения просто закрыли бы уязвимость, и доказать факт ее существования было бы невозможно.