Специалисты из сферы информационной безопасности Postuf обнаружили уязвимость в мобильном приложении «Госуслуги Москвы» на платформе Android.
Эксплуатация этой уязвимости позволяла получать доступ к пользовательским данным, которые те указывали на официальном сайте, таким как:
- ФИО;
- Почтовый адрес;
- Номер полиса ОМС;
- Номер полиса СНИЛС;
- Список принадлежащего имущества;
- И т.д.
Сообщается, что помимо просмотра данных, их так же можно было корректировать. При этом для пользователя такие изменения оставались незаметными, т.к. оповещений о внесении правок на телефон не поступало.
Специалисты отметили, что напрямую нанести серьёзный вред, зная эти данные о пользователях нельзя, однако, они могут использоваться для фишинговых атак или вымогательства.
В департаменте информационных технологий Москвы, сотрудники которого разрабатывали портал mos.ru, опровергли наличие данной уязвимости, однако в ответе сказано, что после запроса в ДИТ уязвимость в приложении была устранена.
Авторизация в мобильном приложении «Госуслуги Москвы» без указания пароля невозможна, - ответили разработчики данного приложения
