На новом сайте реестра электронных повесток в России обнаружена серьезная уязвимость, которая позволяет получить личную информацию о любом гражданине, зная его ID. Об этом пишет "Новая газета Европа" со ссылкой на эксперта в области кибербезопасности, пожелавшего остаться анонимом.
По его словам, после регистрации на сайте повесток через "Госуслуги" у пользователя появляется возможность отправить специальный API-запрос, через который можно узнать персональные данные любого человека, а именно:
- полное имя;
- дату и место рождения;
- адрес регистрации;
- паспортные данные;
- СНИЛС и ИНН;
- информацию о выданных документах и страховках.
Эксперт объяснил, что сервис не проверяет, запрашивает ли пользователь данные о себе или о другом человеке. Для отправки АPI-запроса достаточно знать только ID пользователя. После нескольких запросов сайт блокирует IP-адрес пользователя, но это возможно обойти при помощи прокси или VPN.
СМОТРИТЕ ТАКЖЕ: Путин поручил провести осенний призыв 2024 года с использованием единого реестра военнообязанных и электронных повестокЕще об одной уязвимости сайта реестра электронных повесток пишет "Верстка" со ссылкой на технического эксперта "Роскомсвободы", имя которого не называется. По словам эксперта, сайт просит от пользователя установить сертификат Минцифры для "защищенного соединения с сайтом", с помощью которого силовики могут отслеживать трафик пользователя в браузере и мессенджерах.
Эксперт объяснил, что обычно сертификаты безопасности сразу встроены в браузеры и в сайты и нужны для того, чтобы подтверждать подлинность сайтов и передавать зашифрованные данные между устройством и сервисом. Выпуском сертификатов в России занимается Национальный удостоверяющий центр Минцифры, однако его сертификаты не включены в базу браузера по умолчанию.
Сайт реестра электронных повесток в России заработал в тестовом режиме 18 сентября 2024 года в Рязанской и Сахалинской областях, а также в Республике Марий Эл. Авторизоваться на нем можно через учетную запись на портале "Госуслуг".
Реестр должен полноценно заработать с первого ноября 2024 года. В нем будут содержаться все сведения о воинском учете и о гражданах, которые подлежат ему, в том числе и сведения о вручении повесток. Помимо Минобороны, доступ к реестру будут иметь ФСБ и другие спецслужбы. Как разъясняет правозащитный канал "Военные адвокаты", повестка будет считаться врученной через семь дней после ее размещения в электронном реестре.
СМОТРИТЕ ТАКЖЕ:
Путин подписал закон об электронных повестках, едином реестре военнообязанных и ограничении прав "уклонистов""Военкомы будут ходить в батистовых портянках". IT-специалисты об эффективности и коррупционности электронного реестра военнообязанных в РФ "Удобно закрыть границы при необъявленном военном положении". Как будет действовать новый закон об электронных повестках – объясняет эксперт