На новом сайте реестра электронных повесток в России обнаружена серьезная уязвимость, которая позволяет получить личную информацию о любом гражданине, зная его ID. Об этом пишет "Новая газета Европа" со ссылкой на эксперта в области кибербезопасности, пожелавшего остаться анонимом.
По его словам, после регистрации на сайте повесток через "Госуслуги" у пользователя появляется возможность отправить специальный API-запрос, через который можно узнать персональные данные любого человека, а именно:
- полное имя;
- дату и место рождения;
- адрес регистрации;
- паспортные данные;
- СНИЛС и ИНН;
- информацию о выданных документах и страховках.
Эксперт объяснил, что сервис не проверяет, запрашивает ли пользователь данные о себе или о другом человеке. Для отправки АPI-запроса достаточно знать только ID пользователя. После нескольких запросов сайт блокирует IP-адрес пользователя, но это возможно обойти при помощи прокси или VPN.
Еще об одной уязвимости сайта реестра электронных повесток пишет "Верстка" со ссылкой на технического эксперта "Роскомсвободы", имя которого не называется. По словам эксперта, сайт просит от пользователя установить сертификат Минцифры для "защищенного соединения с сайтом", с помощью которого силовики могут отслеживать трафик пользователя в браузере и мессенджерах.
Эксперт объяснил, что обычно сертификаты безопасности сразу встроены в браузеры и в сайты и нужны для того, чтобы подтверждать подлинность сайтов и передавать зашифрованные данные между устройством и сервисом. Выпуском сертификатов в России занимается Национальный удостоверяющий центр Минцифры, однако его сертификаты не включены в базу браузера по умолчанию.
Сайт реестра электронных повесток в России заработал в тестовом режиме 18 сентября 2024 года в Рязанской и Сахалинской областях, а также в Республике Марий Эл. Авторизоваться на нем можно через учетную запись на портале "Госуслуг".
Реестр должен полноценно заработать с первого ноября 2024 года. В нем будут содержаться все сведения о воинском учете и о гражданах, которые подлежат ему, в том числе и сведения о вручении повесток. Помимо Минобороны, доступ к реестру будут иметь ФСБ и другие спецслужбы. Как разъясняет правозащитный канал "Военные адвокаты", повестка будет считаться врученной через семь дней после ее размещения в электронном реестре.