В открытом доступе нашли данные нарушителей самоизоляции

Сегодня, 18 мая 2020 года, «Коммерсант» обратил внимание, что личные данные людей, оштрафованных за нарушение самоизоляции в Москве (по состоянию на 10 мая таких штрафов было выписано 35 000), оказались доступны всем желающим на сайтах для оплаты штрафов.

Первым эту проблему заметил юрист Иван Ёжиков, о чем он и сообщил в своем Telegram-канале «Нора Ежика». Оказалось, что уникальный идентификатор начислений (УИН) штрафа можно подобрать простым перебором. В итоге сервисы для оплаты штрафов позволяют просмотреть  персональные данные оштрафованного, в том числе фамилию, имя, отчество и паспортные данные.

Эту информацию подтвердил и основатель компании DeviceLock Ашот Оганесян. В своем Telegram-канале он пишет:

«Есть сайт “Оплата Госуслуг” (не имеет отношения к Порталу государственных услуг). На этом сайте возможен поиск по УИН (уникальный идентификатор начисления). При поиске не используется CAPTCHA и нет защиты от массовых запросов.

Соответственно, можно перебором УИН найти все начисления. В некоторых начислениях (в частности штрафах за нарушение режима самоизоляции в Москве) указываются персональные данные граждан: ФИО и паспортные данные.

Зная, как формируется УИН можно существенно упростить задачу перебора. УИН состоит из 20 и 25 цифр, последний разряд является контрольным и вычисляется по известной формуле (что позволяет перебирать только валидные номера). Например, УИН Главного контрольного Управление города Москвы состоит из 25 цифр. Первые 8 всегда 03162432, потом еще две известны — 77 и последняя — контрольный разряд».

Из Telegram-канала Ашота Оганесяна

По словам руководителя департамента системных решений Group-IB Антона Фишмана, проблемы действительно могли возникнуть на внешних сервисах, не имеющих отношения к официальному порталу госуслуг, но взаимодействующими через Государственную информационную систему о государственных и муниципальных платежах (ГИС ГМП) с госорганами — налоговой, ГИБДД.

«Фактически это внешние платежные шлюзы, через которые нарушители проверяют и оплачивают штрафы ведомствам. И судя по сообщениям о возможности перебора для доступа к персданным нарушителей самоизоляции, разработчики подобных сервисов не уделяют достаточное внимание безопасности —  не реализуют защиту от ботов, переборов, оплата и проверка возможна без авторизации. Также госорганы, которые дают возможность внешним сервисам осуществлять такое взаимодействие, должны предъявлять жесткие требования к их разработке, либо обеспечивать защиту на уровне самих интерфейсов», — говорит Фишман.

В пресс-службе департамента информационных технологий (ДИТ) Москвы в ответ на все сегодняшние публикации сообщили, что номер УИН в постановлении о назначении штрафа предназначен только для лица, привлеченного к административной ответственности. Если гражданин сам передает третьим лицам или выкладывает в интернет скриншоты постановления с УИН штрафа, это не означает нарушения законодательства о персональных данных контролирующим органом, уверяют в ДИТ.

Начальник главного контрольного управления Москвы Евгений Данчиков тоже сообщил РИА Новости, что утечка данных может произойти только в том случае, если выкладывать в общий доступ скриншоты постановлений, где указан УИН.  А подобрать номер вручную, по его словам, практически невозможно.

«Выкладывание в сеть скриншотов постановлений, содержащих УИН штрафа, личное дело каждого, что не является фактом нарушения контролирующим органом законодательства о защите персональных данных», — говорит Данчиков.

Мария Нефёдова: Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.

Комментарии (5)

  • > нет защиты от массовых запросов
    > А подобрать номер вручную, по его словам, практически невозможно.
    Ясно. Понятно.

  • ***
    А подобрать номер вручную, по его словам, практически невозможно.
    ***

    Интересно, а ему эту фу**ю кто рассказал? Наверное кто-то из очень "приближенных", ставших недавно очень "крупными" специалистами в сфере компьютерной безопасности. К чему удивляться, что многие вещи выглядят так печально если их решение поручено не профессионалам мягко говоря.

    • Написано же - "Начальник главного контрольного управления Москвы". Не программист, не системный архитектор, не специалист по безопасности или кто-либо другой, вплотную и непосредственно занимающийся системой. Я не буду говорить о его знаниях - мне о них неизвестно, однако есть мнение, что каждый хорош на своём месте. Разработчик хорош, когда он разработчик. Т.е. даже если, допустим, когда-то он был разработчиком, а потом поднялся по карьерной лестнице, делать этого, возможно, и не стоило. Ведь у начальников совсем другие задачи. А знания в IT нынче быстро устаревают. Может, просто забыл про такую вещь, как автоматизация - с кем не бывает? :-)

      • Т.е. он и не должен был этого знать - он просто начальник. Только не подумайте, что я его оправдываю (я с этого ничего не поимею → мне это не нужно) :-) Просто тут, кажется, более глубинная и более глобальная проблема.

Похожие материалы