На сайте электронных повесток, который заработал 18 сентября (реестрповесток.рф) есть уязвимость, которая позволяет украсть личные данные россиян. Об этом сообщил изданию эксперт в сфере безопасности, пожелавший остаться анонимным.
По его словам, после регистрации на сайте повесток через «Госуслуги» у пользователя появляется возможность отправить специальный API-запрос, который позволяет узнать персональные данные других людей — полное имя, дату рождения, адрес регистрации, СНИЛС, паспортные данные и другую информацию.
Для того чтобы получить эти данные, нужно лишь знать ID конкретного пользователя. Идентификаторы при этом генерируются по предсказуемому алгоритму. Это позволяет злоумышленникам, перебирая значения ID, получить доступ к данным множества россиян.
«Сервис повесток не проверяет, запрашивает ли пользователь данные о себе или о другом человеке — из-за чего и возникает уязвимость», — рассказал эксперт.
Еще одна уязвимость для пользователей, как сообщил «Верстке» технический эксперт «Роскомсвободы», состоит в том, что сайт реестра повесток требует от пользователя установить сертификат Минцифры «для защищенного соединения с сайтом». По мнению эксперта, с его помощью силовики могут отслеживать трафик пользователя в браузере и мессенджерах.
В апреле Владимир Путин подписал закон, который приравнял электронные повестки к бумажным, а также запретил выезд из России призывникам, получившим повестку и не явившимся после этого в военкомат. Путин поручил использовать электронные повестки уже в осенний призыв 2024 года.