В приложении московских госуслуг обнаружена уязвимость
Специалисты компании Postuf сообщили об уязвимости в мобильном приложении «Госуслуги Москвы» на платформе Android, которая позволяла получить доступ к личному кабинету любого пользователя. Для этого достаточно было указать его мобильный номер.
Информация, к которой мог получить доступ любой желающий:
- Ф.И.О;
- E-mail;
- Год рождения;
- Номер полиса ОМС и СНИЛС;
- Список движимого и недвижимого имущества;
- Сведения о наличии загранпаспорта;
- Наличие детей, учащихся в школах.
и др.
При наличии номера полиса ОМС и года рождения, через систему ЕМИАС можно было получить доступ к медицинской информации: каких врачей посещает, какие рецепты выписываются, история прикрепления к поликлиникам и т.д.
Уязвимость давала возможность не просто просматривать, но и менять данные, уточнил основатель компании Postuf Бекхан Гендаргеноевский. При этом сам пользователь об этом может не знать, так как в системе не предусмотрены нотификации об изменении данных.
В департаменте информационных технологий Москвы попытались воспроизвести попытку авторизации по номеру телефона, но сообщили, что им это не удалось. От системы была получена «ошибка авторизации». В ДИТ утверждают, что авторизоваться в системе без пароля невозможно.
В тоже время эксперт Postuf обратил внимание на то, что, судя по скриншоту, при проверке уязвимости ДИТ использовал тот же номер телефона, который Postuf указал в своём техническом отчёте и на который не был зарегистрирован аккаунт на «Госуслугах».
На текущий момент уязвимость уже устранена.