В Интернете появилась информация о том, что через реестр электронных повесток, запущенный 18.09.2024, можно достать личные данные пользователей, через ID аккаунта на Госуслугах.
После запуска сайта была обнаружена уязвимость, которая позволяет любому авторизованному пользователю посмотреть все личные данные призывников.
После авторизации можно отправить API-запрос, содержащий ID юзера на Госуслугах и получить всю информацию, включая ФИО, дату рождения, прописку, ИИН, СНИЛС, данные водительского удостоверения, паспорта и других документов.
Вот в таком вот удобном формате:
Другими словами после авторизации можно отправить API-запрос, содержащий ID юзера на Госуслугах и получить всю информацию, включая ФИО, дату рождения, прописку, ИИН, СНИЛС, данные водительского удостоверения, паспорта и других документов.
В Минцифры опровергли сообщения, что можно получить персональные данные граждан через уязвимость на новом сайте реестра электронных повесток: «Минцифры опровергает информацию об уязвимости на сайте реестра электронных повесток, якобы позволяющей получить персональные данные граждан. Данные пользователей портала Госуслуг надёжно защищены. На текущий момент подтверждений утечек или уязвимостей не зафиксировано. Возможности найти информацию о пользователях Госуслуг по ID-номеру нет».
Также в Минцифры отметили, что для защиты используется многоэшелонированный подход - несколько дополняющих друг друга мер безопасности. По данным ведомства, авторизация через Госуслуги работает корректно на всех ресурсах.