На сайте электронных повесток нашли уязвимость, которая позволяет украсть личные данные россиян
На сайте электронных повесток, который заработал 18 сентября (реестрповесток.рф) есть уязвимость, которая позволяет украсть личные данные россиян. Об этом сообщил изданию эксперт в сфере безопасности, пожелавший остаться анонимным.
По его словам, после регистрации на сайте повесток через «Госуслуги» у пользователя появляется возможность отправить специальный API-запрос, который позволяет узнать персональные данные других людей — полное имя, дату рождения, адрес регистрации, СНИЛС, паспортные данные и другую информацию.
Для того чтобы получить эти данные, нужно лишь знать ID конкретного пользователя. Идентификаторы при этом генерируются по предсказуемому алгоритму. Это позволяет злоумышленникам, перебирая значения ID, получить доступ к данным множества россиян.
«Сервис повесток не проверяет, запрашивает ли пользователь данные о себе или о другом человеке — из-за чего и возникает уязвимость», — рассказал эксперт.
Еще одна уязвимость для пользователей, как сообщил «Верстке» технический эксперт «Роскомсвободы», состоит в том, что сайт реестра повесток требует от пользователя установить сертификат Минцифры «для защищенного соединения с сайтом». По мнению эксперта, с его помощью силовики могут отслеживать трафик пользователя в браузере и мессенджерах.
В апреле Владимир Путин подписал закон, который приравнял электронные повестки к бумажным, а также запретил выезд из России призывникам, получившим повестку и не явившимся после этого в военкомат. Путин поручил использовать электронные повестки уже в осенний призыв 2024 года.