Сегодня, 18 мая 2020 года, «Коммерсант» обратил внимание, что личные данные людей, оштрафованных за нарушение самоизоляции в Москве (по состоянию на 10 мая таких штрафов было выписано 35 000), оказались доступны всем желающим на сайтах для оплаты штрафов.
Первым эту проблему заметил юрист Иван Ёжиков, о чем он и сообщил в своем Telegram-канале «Нора Ежика». Оказалось, что уникальный идентификатор начислений (УИН) штрафа можно подобрать простым перебором. В итоге сервисы для оплаты штрафов позволяют просмотреть персональные данные оштрафованного, в том числе фамилию, имя, отчество и паспортные данные.
Эту информацию подтвердил и основатель компании DeviceLock Ашот Оганесян. В своем Telegram-канале он пишет:
«Есть сайт “Оплата Госуслуг” (не имеет отношения к Порталу государственных услуг). На этом сайте возможен поиск по УИН (уникальный идентификатор начисления). При поиске не используется CAPTCHA и нет защиты от массовых запросов.
Соответственно, можно перебором УИН найти все начисления. В некоторых начислениях (в частности штрафах за нарушение режима самоизоляции в Москве) указываются персональные данные граждан: ФИО и паспортные данные.
Зная, как формируется УИН можно существенно упростить задачу перебора. УИН состоит из 20 и 25 цифр, последний разряд является контрольным и вычисляется по известной формуле (что позволяет перебирать только валидные номера). Например, УИН Главного контрольного Управление города Москвы состоит из 25 цифр. Первые 8 всегда 03162432, потом еще две известны — 77 и последняя — контрольный разряд».
По словам руководителя департамента системных решений Group-IB Антона Фишмана, проблемы действительно могли возникнуть на внешних сервисах, не имеющих отношения к официальному порталу госуслуг, но взаимодействующими через Государственную информационную систему о государственных и муниципальных платежах (ГИС ГМП) с госорганами — налоговой, ГИБДД.
«Фактически это внешние платежные шлюзы, через которые нарушители проверяют и оплачивают штрафы ведомствам. И судя по сообщениям о возможности перебора для доступа к персданным нарушителей самоизоляции, разработчики подобных сервисов не уделяют достаточное внимание безопасности — не реализуют защиту от ботов, переборов, оплата и проверка возможна без авторизации. Также госорганы, которые дают возможность внешним сервисам осуществлять такое взаимодействие, должны предъявлять жесткие требования к их разработке, либо обеспечивать защиту на уровне самих интерфейсов», — говорит Фишман.
В пресс-службе департамента информационных технологий (ДИТ) Москвы в ответ на все сегодняшние публикации сообщили, что номер УИН в постановлении о назначении штрафа предназначен только для лица, привлеченного к административной ответственности. Если гражданин сам передает третьим лицам или выкладывает в интернет скриншоты постановления с УИН штрафа, это не означает нарушения законодательства о персональных данных контролирующим органом, уверяют в ДИТ.
Начальник главного контрольного управления Москвы Евгений Данчиков тоже сообщил РИА Новости, что утечка данных может произойти только в том случае, если выкладывать в общий доступ скриншоты постановлений, где указан УИН. А подобрать номер вручную, по его словам, практически невозможно.
«Выкладывание в сеть скриншотов постановлений, содержащих УИН штрафа, личное дело каждого, что не является фактом нарушения контролирующим органом законодательства о защите персональных данных», — говорит Данчиков.