На сайте электронных повесток России обнаружена серьезная уязвимость

Благодаря этому мошенники могут получить персональные данные россиян

На новом сайте реестра электронных повесток в России обнаружена серьезная уязвимость, позволяющая получить личную информацию о любом гражданине. Это «Новой газете Европа» сообщил эксперт в области кибербезопасности, пожелавший остаться анонимным.

Для доступа к данным достаточно знать идентификатор пользователя на портале «Госуслуги».

Через уязвимость можно получить следующие данные:

• Полное имя;

• Дату и место рождения;

• Адрес регистрации;

• Паспортные данные;

• СНИЛС и ИНН;

• Информацию о выданных документах и страховках.

Таким образом можно даже украсть персональные данные россиянок, которые по идее не должны были быть включены в реестр. Главное, чтоб у гражданина был аккаунт на «Госуслугах».

После регистрации на сайте через «Госуслуги» под любым подтвержденным аккаунтом у пользователя есть возможность отправить специальный API-запрос, для которого достаточно знать только ID пользователя. После нескольких запросов сайт блокирует IP адрес пользователя — но это легко обходится при помощи прокси или VPN.

Идентификаторы при этом генерируются по предсказуемому алгоритму, что открывает возможность злоумышленникам, перебирая значения ID, получить доступ к персональным данным множества россиян через сайт повесток.

«Сервис повесток не проверяет, запрашивает ли пользователь данные о себе или о другом человеке — из-за чего и возникает уязвимость», — рассказал эксперт.

В России сегодня заработал сайт реестра электронных повесток. Сайт доступен по адрес реестрповесток.рф. Авторизоваться на нем можно через учетную запись на портале «Госуслуг».

Ранее власти этих трех регионов объявляли о запуске с 15 сентября эксперимента по рассылке электронных повесток, получать они их должны были на сайте реестра. «Агентство» обращало внимание , что по состоянию на вечер 16 сентября портал всё еще не работал.

Согласно постановлению правительства, с 1 ноября в России полноценно заработает Единый реестр электронных повесток. Они будут считаться врученными по истечении семи дней после размещения в реестре. В отношении граждан, подлежащих призыву, введут ряд ограничений, включая запрет на выезд из России.

В Министерстве цифрового развития и «Ростелекоме» через два часа после выхода новости заявили, что обнаруженной «Новой-Европа» уязвимости на сайте реестра повесток «не существует».

«Минцифры опровергает информацию об уязвимости на сайте реестра электронных повесток, якобы позволяющей получить персональные данные граждан. <…> На текущий момент подтверждений утечек или уязвимостей не зафиксировано. Взломать портал невозможно», — заявили в ведомстве.

Оба заявления были опубликованы в диапазоне от 23:20 до 23:33 мск 18 сентября. Как показали данные «Новой газеты Европа», указанная нами уязвимость была устранена только примерно в районе 22:30 мск — то есть через час после публикации новости в телеграм-канале «Новой-Европа» (21:30 мск).

Мы установили, что теперь сервис проверяет, совпадает ли ID запрашиваемого пользователя и авторизованного пользователя — и запросить информацию сейчас можно только о себе. После исправления сайт на тот же запрос выдает ошибку 403 (Код ошибки в случае отказа в доступе).

Наши данные подтверждает и тот факт, что издание SOTA смогло повторить наш эксперимент — и пришло к тем же выводам. Свой пост с проверенными данными журналисты опубликовали в 22:11 мск 18 сентября.

Как ранее отмечала «Новая-Европа», этот домен принадлежит компании «РТ-Лабс», связанной с IT-предпринимателем Александром Моносовым. Моносова арестовали в июле 2023 года в рамках уголовного дела против экс-замминистра Минцифры Максима Паршина. Их обвинили в получении и даче взятки в размере 3 млн 750 тысяч рублей.

В июле 2023 года, во время принятия поправок в законы о военной службе, «РТ-Лабс» зарегистрировала домены повесток-реестр.рф и реестрповесток.рф. Эта же компания в апреле 2023 года регистрировала домены для сайтов о контрактной службе в российской армии, среди которых: идивармию.рф, свопоконтракту.рф и контрактвс.рф.

Обновлено 14:00 19 сентября — добавлен ответ Минцифры и комментарий издания по поводу этого