ИБ-специалисты компании Postuf рассказали о выявлении уязвимости в приложении «Госуслуги Москвы», благодаря которой злоумышленники могли заполучить доступ к учетной записи пользователей, если знали их телефонный номер, используемый при авторизации. На данный момент ошибка исправлена разработчиками.
В приложении «Госуслуги Москвы» для андроид-устройств была выявлена уязвимость, позволяющая всем желающим попасть в учетную запись любого пользователя, указав телефонный номер для авторизации. В личном кабинете пользователя хакеры могли беспрепятственно получить всю конфиденциальную информацию о москвичах:
ФИО;
год рождения;
дети;
информация о загранпаспорте; информация о недвижимости и другом имуществе, находящимся в собственности; номер полиса ОМС и т. д.
С помощью обнаруженной уязвимости была возможность и просмотреть, и изменить данные пользователя. Любые изменения, внесенные в аккаунт, для самого пользователя оставались бы незаметными, потому что никаких уведомлений об этом не предусмотрено системой.
По поводу уязвимости в приложении «Госуслуги Москвы» высказался Бекхан Гендаргеноевский, гендиректор компании Postuf: «Сейчас сложно говорить о том, сколько именно времени существовала ошибка и успел ли кто-то ей воспользоваться. Но вряд ли можно было кому-то сильно навредить, располагая подобной информацией.
Даже временные изменения, внесенные в аккаунт пользователя, никакого ущерба ему бы не нанесли. Но сам факт существования такой уязвимости в подобном приложении является удручающим. Даже зайдя в чужой профиль, не получится напрямую украсить деньги у человека. Хотя полученную информацию можно применять в методах социальной инженерии, пытаясь узнать у жертвы банковские данные».
В ДИТ Москвы никак не прокомментировали наличие в приложении «Госуслуги Москвы» критической уязвимости. Представители ведомства заявили, что «авторизоваться в приложении «Госуслуги Москвы» без указания пароля, зная только номер мобильного телефона пользователя, невозможно».
Интересно, что для подтверждения своих слов представители ДИТ Москвы решили повторить эксперимент компании Postuf и система выдала «ошибку авторизации». Соответствующий скриншот был направлен в РБК и Postuf. В ответ на это сотрудник компании Postuf отметил, что во время проверки уязвимости представители ДИТ Москвы использовали тот же телефонный номер, который компания Postuf указала в своём техническом отчете, а он не был связан ни с одним из аккаунтов на «Госуслугах Москвы».
Бекхан Гендаргеноевский рассказал, что после предоставления технического отчета в ДИТ Москвы уязвимость приложения была устранена в короткий срок.
Источник:
