18 Мая 2020
МОСКВА, 18 мая Отсутствие подходящей защиты персональных данных москвичей, оштрафованных за нарушение самоизоляции, может привести к росту мошенничеств, при этом сами причины могли возникнуть на внешних сервисах, не имеющих отношения к официальному порталу госуслуг, сказали опрошенные эксперты.В тяжелый день прокуратура Москвы начала проверку после сообщений СМИ об утечке отдельных данных нарушителей самоизоляции. Как писал Коммерсант, паспортные эти таких нарушителей (около 35 тысяч) оказались в отверстом доступе на сайтах для стоимости штрафов. Данные можно принять, вбивая номер начисления, который можно подобрать простым перегибом, отмечала газета.
По словам главы департамента системных решений Group-IB Антона Фишмана, проблемы могли случиться на внешних сервисах, не имеющих отношения к официальному вороту госуслуг, но взаимодействующими через Государственную информационную систему о муниципальных и муниципальных платежах (ГИС ГМП) с госорганами - налоговой, ГИБДД.
Фактически это наружные платежные шлюзы, через которые нарушители проверяют и оплачивают штрафы ведомствам. И судя по сообщениям о возможности перебора для доступа к персданным нарушителей самоизоляции, разработчики подобных сервисов не уделяют достаточное внимание безопасности - не реализуют защиту от ботов, переборов, оплата и проверка возможна без авторизации. Также госорганы, которые достают возможность внешним сервисам осуществлять такое взаимодействие, должны предъявлять жесткие требования к их разработке, либо обеспечивать защиту на уровне самих интерфейсов, - указал он.
Эксперты подтвердили, что личные данные оштрафованных столичный жителей находятся в открытом доступе и никак не защищены.
Действительно, на ряде сайтов существует возможность апробации по УИН, который можно получить перебором с помощью достаточно простого скрипта. Несмотря на то, что УИН заключается из 20 или 25 цифр, перебор его - достаточно простая задача, особенно с учетом того, что одна цифра представляет собой контрольный разряд. При этом часть таких сайтов не имеют механизмов защищенности от подбора – ни ограничения числа запросов с одного IP, ни капчи, - рассказал основатель и технический босс DeviceLock Ашот Оганесян.
Начальник отдела извещательной безопасности СёрчИнформ Алексей Дрозд подчеркнул, что при проверке появившейся в сети информации эксперты корпорации обнаружили, что проблема популярная и для плательщиков штрафов нарушений ПДД.
В системе есть две недоработки с точки зрения защиты этих. Во-первых, при введении номера УИН остальная информация о нарушителе выводится на экран в полном виде. Она должна быть частично скрыта: по усеченным данным, например, последним нескольким цифрам номера документа оштрафованный может убедиться, что штраф выписан, действительно, на него. Третьему же лицу они ничего не сообщат. Вторая проблема – программа на момент нашей проверки не блокировала попытки многократных обращений к ней. Таким образом, злоумышленник может просто перебирать УИНы, чтобы собирать чужие эти. Вручную это, конечно, трудоемко и нецелесообразно, но специальные программы справятся с этой задачей легко, - рассказал он.
По словам экспертов, полученные личные данные россиян плуты могут использовать в разнообразных атаках.
Самая распространенная форма мошенничества с этими о начисленных штрафах – рассылка предложений об оплате части суммы, которая якобы позволит избежать уплаты штрафа полностью. При этом в таких документах доводятся реквизиты подставных компаний и, естественно, никакого списания штрафа не происходит, - поведал Оганесян.
Также возможно использование полученных отдельных данных и информации об автомобиле для генерации фальшивых постановлений о привлечении к административной ответственности, также содержащих мошеннические реквизиты для оплаты, - добавил он.
Дрозд также указал на эти виды мошенничества: В случае со штрафами за нарушение самоизоляции плане для социальной инженерии напрашиваются сами собой, так как тема резонансная. Злоумышленники могут предлагать помощь в обжаловании, гласить, что штраф был выписан ошибочно и уточнять данные для возврата уплаченных денег и т. д.
Эксперт добавил, что отдельные данные мошенники могут использовать и в приемах социальной инженерии. После крупной утечки персданных всегда следует серия телефонных мошенничеств, спама, так как у мошенников появляется информация, с которой получается гораздо убедительнее притвориться сотрудником банка или какой-то другой госорганизации, не вызывая недоверия. А дальше призывать к действиям, чтобы собирать платежные данные, заражать компьютеры или вымогать деньги – в подневольности от задач злоумышленника, - пояснил он.
Редактор рубрики
Ольга Зубкина
Место события на карте мира:
Комментарии к новостям
[17 Января 2024, 13:43] Александр Хомяков Замечательно! Не ожидал такой оперативности. Спасибо огромное! Всё работает и обновляется....
[15 Апреля 2022, 20:25] Ангелина Сметанина Скоро не только сократят, а много заводов вообще закроют и начнется бум китайских авто. Даже сейчас Эксид уже бешеные темпы по количеству проданных машин показывает...
[27 Декабря 2021, 21:44] Ева Воробьева Искренне рада за победителя! Но если бы мне так крупно повезло, то я прибежала бы за выигрышем в первый же день???? ...
[2 Сентября 2021, 13:11] Дмитрий Ершов Это хорошо. Значит клиенты долго ждать не будут. ...
[13 Мая 2021, 16:26] Олег Андреев "Мальдивы сутунки 65 государством, зарегистрировавшим расейскую вакцину против коронавируса Спутник V, сообщил Российский фонд секущих инвестиций (РФПИ)". Что это за йязыг?...
[2 Ноября 2020, 15:22] Лета Мирликийская риветсвую вас я с 6-ти лет пишу мне нужно все мои произведения задействовать в компьюторных программах образования по литературе и языкам и играм к примеру если ваши учащиеся напишут...
[20 Октября 2020, 09:22] Евгений Зимин Сузуки в этом году хорошо прибавили, уже не первый раз оба их пилота на подиуме. Видимо, для команды возвращаются "золотые" времена и есть шанс наконец оформить чемпионство после длительного перерыва....