Уязвимость, которая позволяла злоумышленникам получить доступ к личному кабинету любого пользователя, обнаружена в приложении «Госуслуги Москвы», работающем на платформе Android. Указав лишь номер мобильного телефона, хакеры могли получить всю информацию, которую пользователь указал на сайте столичных сервисов. Это могли быть фамилия, имя и отчество человека, его e-mail, год рождения, номер полиса ОМС и СНИЛС, список движимого и недвижимого имущества, сведения о наличии загранпаспорта, о детях, учащихся в школах, и прочее.
«Зная номер полиса ОМС и год рождения, можно было через систему ЕМИАС получить доступ к медицинской информации: каких врачей посещает человек, какие рецепты ему выписываются, история прикрепления к поликлиникам и т.д», — сообщает РБК.
Проблема с «дырой» в безопасности приложения заключалась в том, что хакеры могли не только смотреть, но и менять личные данные человека — например, вносить в список имущества данные о несуществующем авто, квартирах, домах и дачах, фальшивых супругах и детях. В результате пользователи могли стать невольными жертвами злоумышленников, специализирующихся на мошенничестве с применением методов социальной инженерии. Неприятность для пользователя заключалась в том, что он мог даже не узнать о вмешательстве аферистов в его персональные данные, поскольку приложение не предусматривало рассылку пользователям уведомлений об изменении их персональных данных на сайте.
По данным столичного департамента информационных технологий, сейчас уязвимость в приложении устранена, однако до сих пор не известно, как долго она существовала, и сумели ли злоумышленники ей воспользоваться.