Специалисты компании Postuf обнаружили в приложении «Госуслуги Москвы» для Android опасную уязвимость. Зная лишь номер телефона человека, зарегистрированного в этом сервисе, можно было получить доступ к его личным данным и другой информации, которую он указал.

Подписаться на iGuides в Telegram, чтобы узнать обо всем первым — t.me/iguides

Воспользовавшись этой уязвимостью, злоумышленник мог узнать об интересующем его человеке следующие сведения:

• Фамилия, имя, отчество
• Адрес электронной почты
• Дата рождения
• Номер полиса ОМС
• Номер СНИЛС
• Список недвижимого имущества
• Список движимого имущества
• Данные загранпаспорта
• Информация о детях, в том числе номера школ, где они учатся
• Показатели счётчиков ЖКХ

Зная номер полиса ОМС и дату рождения гражданина с помощью системы ЕМИАС можно получить доступ к медицинской информации, в том числе о том, к каким врачам он записывался на приём.

Дыра в «Госуслугах Москвы» также позволяла редактировать внесённую информацию: например, можно было приписать человеку несуществующих детей, имущество, которого у него на самом деле нет, внести некорректные показания счётчиков ЖКХ, добавить или отменить запись к врачам и т. п.  Напрямую использовать полученные сведения для того, чтобы навредить гражданину, нельзя, но злоумышленник мог использовать полученные сведения, например, для того, чтобы выманить платёжные сведения с помощью социальной инженерии. 

В настоящее время уязвимость закрыта, Представитель департамента информационных технологий Москвы отверг то, то она вообще существовала. По его словам, залогиниться в приложение «Госуслуги Москвы» можно только с указанием логина и пароля.