Минцифры «опровергло» наличие уязвимости на сайте реестра повесток. Данные «Новой-Европа» показали, что ошибка была исправлена примерно через час после нашего материала. null

В Министерстве цифрового развития и «Ростелекоме» заявили, что обнаруженной «Новой-Европа» уязвимости на сайте реестра повесток «не существует». Об этом пишут РИА Новости и ТАСС.

«Минцифры опровергает информацию об уязвимости на сайте реестра электронных повесток, якобы позволяющей получить персональные данные граждан. <…> На текущий момент подтверждений утечек или уязвимостей не зафиксировано. Взломать портал невозможно», — заявили в ведомстве.

Разработчик реестра электронных повесток — «Ростелеком» — также назвал недостоверными сообщения о возможности получить через систему данные пользователей «Госуслуг»:

«Доступ к данным в реестре получают только граждане, использующие единую государственную информационную систему авторизации с обязательным дополнительным подтверждением в виде СМС-сообщения на телефонный номер», — сообщила пресс-служба «Ростелекома» в телеграм-канале.

Оба заявления были опубликованы в диапазоне от 23:20 до 23:33 мск 18 сентября. Как показали данные «Новой газеты Европа», указанная нами уязвимость была устранена только примерно в районе 22:30 мск — то есть через час после публикации новости в телеграм-канале «Новой-Европа» (21:30 мск).

Эти сведения передал нам эксперт по кибербезопасности, пожелавший остаться анонимным — именно он вчера обратил внимание на «брешь» в системе безопасности сайта. Аналитик проводил повторные проверки обнаруженной бреши и после передачи сведений «Новой-Европа».

Мы установили, что теперь сервис проверяет, совпадает ли ID запрашиваемого пользователя и авторизованного пользователя — и запросить информацию сейчас можно только о себе. После исправления сайт на тот же запрос выдает ошибку 403 (Код ошибки в случае отказа в доступе).

Наши данные подтверждает и тот факт, что издание SOTA смогло повторить наш эксперимент — и пришло к тем же выводам. Свой пост с проверенными данными журналисты опубликовали в 22:11 мск 18 сентября.

На сайте электронных повесток России обнаружена серьезная уязвимость

Благодаря этому мошенники могут получить персональные данные россиян

На сайте электронных повесток России обнаружена серьезная уязвимость

Благодаря этому мошенники могут получить персональные данные россиян

Накануне наше издание выяснило, что на сайте реестра электронных повесток в России обнаружена серьезная уязвимость, позволяющая получить личную информацию о любом гражданине.

Через уязвимость можно было узнать полное имя человека, дату и место рождения, адрес регистрации, паспортные данные, номера СНИЛС и ИНН, а также информацию о выданных документах и страховках. Таким образом можно было даже украсть персональные данные россиянок, которые по идее не должны были быть включены в реестр.

Для доступа к информации достаточно было знать идентификатор пользователя на портале «Госуслуги». Идентификаторы генерируются по предсказуемому алгоритму, что открывает возможность злоумышленникам, перебирая значения ID, получить доступ к персональным данным множества россиян

Отдел новостей «Новой газеты Европа»

специально для «Новой газеты Европа»

Подробнее по теме