«Новая газета Европа»: на сайте электронных повесток есть уязвимость, которая позволяет украсть личные данные россиян
Об этом сообщил изданию эксперт в сфере безопасности, пожелавший остаться анонимным.
По его словам, после регистрации на сайте повесток через «Госуслуги» у пользователя появляется возможность отправить специальный API-запрос, который позволяет узнать персональные данные других людей — полное имя, дату рождения, адрес регистрации, СНИЛС, паспортные данные и другую информацию.
Для того чтобы получить эти данные, нужно лишь знать ID конкретного пользователя. Идентификаторы при этом генерируются по предсказуемому алгоритму. Это позволяет злоумышленникам, перебирая значения ID, получить доступ к данным множества россиян.
«Сервис повесток не проверяет, запрашивает ли пользователь данные о себе или о другом человеке — из-за чего и возникает уязвимость», — рассказал эксперт.
Еще одна уязвимость для пользователей, как сообщил «Верстке» технический эксперт «Роскомсвободы», состоит в том, что сайт реестра повесток требует от пользователя установить сертификат Минцифры «для защищенного соединения с сайтом». По мнению эксперта, с его помощью силовики могут отслеживать трафик пользователя в браузере и мессенджерах.
Поддержите нашу работу донатом
Скачивайте наше расширение для браузера для ускорения YouTube