- PVSM.RU - https://www.pvsm.ru -

«Дыра» в Госуслугах: уязвимость позволяла получить доступ и менять данные просто по номеру телефона

Компания Postuf, специализирующаяся на кибербезопасности, обнаружила опасную уязвимость в мобильном приложении «Госуслуги Москвы» для Android. 

«Дыра» в Госуслугах: уязвимость позволяла получить доступ и менять данные просто по номеру телефона [1]

Уязвимость позволяла с помощью номера телефона получить доступ к личному кабинету любого пользователя. Отмечается, что на момент публикации эту «дыру» уже закрыли в приложении. 

С помощью этой уязвимости злоумышленники могли получить всю информацию, указанную пользователем на сайте московских сервисов. В том числе, фамилию, имя и отчество, адрес электронной почты, год рождения, номер полиса ОМС и СНИЛС, список движимого и недвижимого имущества, сведения о наличии загранпаспорта, о детях, учащихся в школах, и так далее.

При этом, имея на руках номер полиса ОМС и год рождения, через систему ЕМИАС можно получить доступ к медицинской информации. Например, каких врачей посещает человек, выписанные ему рецепты и историю прикрепления к поликлиникам. 

Доступ к личному кабинету позволял также изменить данные пользователя. В качестве демонстрации представитель Postuf внёс в профиль корреспондента РБК информацию о несуществующем автомобиле и она почти сразу появилась на странице пользователя.

Источник [2]

Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/news/360858

Ссылки в тексте:

[1] Image: https://www.pvsm.ru/img/n1/news/2021/0/4/b_59df978d79eacc5719e456b4a9105cde4478_large.jpg

[2] Источник: https://www.ixbt.com/news/2021/01/21/dyra-v-gosuslugah-ujazvimost-pozvoljala-poluchit-dostup-i-menjat-dannye-prosto-po-nomeru-telefona.html