Сегодня, 18 мая 2020 года, «Коммерсант» обратил внимание, что личные данные людей, оштрафованных за нарушение самоизоляции в Москве (по состоянию на 10 мая таких штрафов было выписано 35 000), оказались доступны всем желающим на сайтах для оплаты штрафов.
Первым эту проблему заметил юрист Иван Ёжиков, о чем он и сообщил в своем Telegram-канале «Нора Ежика». Оказалось, что уникальный идентификатор начислений (УИН) штрафа можно подобрать простым перебором. В итоге сервисы для оплаты штрафов позволяют просмотреть персональные данные оштрафованного, в том числе фамилию, имя, отчество и паспортные данные.
Эту информацию подтвердил и основатель компании DeviceLock Ашот Оганесян. В своем Telegram-канале он пишет:
«Есть сайт “Оплата Госуслуг” (не имеет отношения к Порталу государственных услуг). На этом сайте возможен поиск по УИН (уникальный идентификатор начисления). При поиске не используется CAPTCHA и нет защиты от массовых запросов.
Соответственно, можно перебором УИН найти все начисления. В некоторых начислениях (в частности штрафах за нарушение режима самоизоляции в Москве) указываются персональные данные граждан: ФИО и паспортные данные.
Зная, как формируется УИН можно существенно упростить задачу перебора. УИН состоит из 20 и 25 цифр, последний разряд является контрольным и вычисляется по известной формуле (что позволяет перебирать только валидные номера). Например, УИН Главного контрольного Управление города Москвы состоит из 25 цифр. Первые 8 всегда 03162432, потом еще две известны — 77 и последняя — контрольный разряд».

По словам руководителя департамента системных решений Group-IB Антона Фишмана, проблемы действительно могли возникнуть на внешних сервисах, не имеющих отношения к официальному порталу госуслуг, но взаимодействующими через Государственную информационную систему о государственных и муниципальных платежах (ГИС ГМП) с госорганами — налоговой, ГИБДД.
«Фактически это внешние платежные шлюзы, через которые нарушители проверяют и оплачивают штрафы ведомствам. И судя по сообщениям о возможности перебора для доступа к персданным нарушителей самоизоляции, разработчики подобных сервисов не уделяют достаточное внимание безопасности — не реализуют защиту от ботов, переборов, оплата и проверка возможна без авторизации. Также госорганы, которые дают возможность внешним сервисам осуществлять такое взаимодействие, должны предъявлять жесткие требования к их разработке, либо обеспечивать защиту на уровне самих интерфейсов», — говорит Фишман.
В пресс-службе департамента информационных технологий (ДИТ) Москвы в ответ на все сегодняшние публикации сообщили, что номер УИН в постановлении о назначении штрафа предназначен только для лица, привлеченного к административной ответственности. Если гражданин сам передает третьим лицам или выкладывает в интернет скриншоты постановления с УИН штрафа, это не означает нарушения законодательства о персональных данных контролирующим органом, уверяют в ДИТ.
Начальник главного контрольного управления Москвы Евгений Данчиков тоже сообщил РИА Новости, что утечка данных может произойти только в том случае, если выкладывать в общий доступ скриншоты постановлений, где указан УИН. А подобрать номер вручную, по его словам, практически невозможно.
«Выкладывание в сеть скриншотов постановлений, содержащих УИН штрафа, личное дело каждого, что не является фактом нарушения контролирующим органом законодательства о защите персональных данных», — говорит Данчиков.
pancho
19.05.2020 в 05:27
Х.як, х.як и в продакшн
0d8bc7
21.05.2020 в 10:08
> нет защиты от массовых запросов
> А подобрать номер вручную, по его словам, практически невозможно.
Ясно. Понятно.
medusa_01
25.05.2020 в 14:17
***
А подобрать номер вручную, по его словам, практически невозможно.
***
Интересно, а ему эту фу**ю кто рассказал? Наверное кто-то из очень «приближенных», ставших недавно очень «крупными» специалистами в сфере компьютерной безопасности. К чему удивляться, что многие вещи выглядят так печально если их решение поручено не профессионалам мягко говоря.
0d8bc7
25.05.2020 в 18:41
Написано же — «Начальник главного контрольного управления Москвы». Не программист, не системный архитектор, не специалист по безопасности или кто-либо другой, вплотную и непосредственно занимающийся системой. Я не буду говорить о его знаниях — мне о них неизвестно, однако есть мнение, что каждый хорош на своём месте. Разработчик хорош, когда он разработчик. Т.е. даже если, допустим, когда-то он был разработчиком, а потом поднялся по карьерной лестнице, делать этого, возможно, и не стоило. Ведь у начальников совсем другие задачи. А знания в IT нынче быстро устаревают. Может, просто забыл про такую вещь, как автоматизация — с кем не бывает? 🙂
0d8bc7
25.05.2020 в 18:52
Т.е. он и не должен был этого знать — он просто начальник. Только не подумайте, что я его оправдываю (я с этого ничего не поимею → мне это не нужно) 🙂 Просто тут, кажется, более глубинная и более глобальная проблема.