Персональные данные без СМС и регистрации
Мобильное приложение Росреестра имеет уязвимость в API, с помощью которой можно получить персональные данные владельца участка, зная кадастровый номер. При этом авторизация или аутентификация в приложение не требуется, что является достаточно серьёзной угрозой.
Сообщение о найденной уязвимости появилось в Telegram-канале «Утечки информации», а обнаружил её один из читателей.
Сделав правильный запрос по кадастровому номеру, можно получить ответ с полным набором ПДн: полное имя, дата рождения, адрес, паспортные данные, СНИЛС и информацию об объекте.
Информация об уязвимости уже отправлена представителям ведомства, однако пока реакции на уведомление не последовало. Неизвестно, в течение какого времени уязвимость доступна и использовалась ли она реальными злоумышленниками.