В приложении московских госуслуг обнаружена уязвимость

Специалисты компании Postuf сообщили об уязвимости в мобильном приложении «Госуслуги Москвы» на платформе Android, которая позволяла получить доступ к личному кабинету любого пользователя. Для этого достаточно было указать его мобильный номер.

Информация, к которой мог получить доступ любой желающий:

• Ф.И.О;
• E-mail;
• Год рождения;
• Номер полиса ОМС и СНИЛС;
• Список движимого и недвижимого имущества;
• Сведения о наличии загранпаспорта;
• Наличие детей, учащихся в школах.

и др.

При наличии номера полиса ОМС и года рождения, через систему ЕМИАС можно было получить доступ к медицинской информации: каких врачей посещает, какие рецепты выписываются, история прикрепления к поликлиникам и т.д.

Уязвимость давала возможность не просто просматривать, но и менять данные, уточнил основатель компании Postuf Бекхан Гендаргеноевский. При этом сам пользователь об этом может не знать, так как в системе не предусмотрены нотификации об изменении данных.

В департаменте информационных технологий Москвы попытались воспроизвести попытку авторизации по номеру телефона, но сообщили, что им это не удалось. От системы была получена «ошибка авторизации». В ДИТ утверждают, что авторизоваться в системе без пароля невозможно.

В тоже время эксперт Postuf обратил внимание на то, что, судя по скриншоту, при проверке уязвимости ДИТ использовал тот же номер телефона, который Postuf указал в своём техническом отчёте и на который не был зарегистрирован аккаунт на «Госуслугах».

На текущий момент уязвимость уже устранена.