Новости Software

В Android-приложении «Госуслуги Москвы» обнаружена уязвимость

Специалисты компании Postuf, работающей в сфере информационной безопасности, обнаружили уязвимость в мобильном приложении «Госуслуги Москвы» для платформы Android. Её эксплуатация позволяла получить доступ к данным, которые пользователи указали на сайте сервиса, в том числе ФИО, адресам почтовых ящиков, номерам полиса ОМС и СНИЛС, списку имущества и др.

Кроме того, по номеру полиса ОМС можно было получить доступ к разного рода медицинским данным, в том числе о посещаемых врачах, выписанных рецептах и др. Источник отмечает, что уязвимость позволяла не только просматривать данные, но и вносить в них корректировки. Причём для пользователей такие изменения могли остаться незаметными, поскольку система не уведомляет пользователей о внесённых правках. Как долго существовала обнаруженная специалистами уязвимость и использовалась ли она злоумышленниками на практике, неизвестно.

Специалисты отмечают, что нанести серьёзный вред, зная данные с портала нельзя, но они могут быть скорректированы таким образом, что во владении ничего не подозревающего пользователя платформы появится, например, какое-то несуществующее имущество. Кроме того, персональные данные, хоть и не позволяют напрямую красть деньги, могут использоваться злоумышленниками для фишинговых атак.

В департаменте информационных технологий Москвы, специалисты которого разрабатывали портал mos.ru, не подтвердили наличие уязвимости, отметив, что авторизация в мобильном приложении «Госуслуги Москвы» без указания пароля невозможна. Несмотря на это в сообщении сказано, что после отправки запроса в ДИТ уязвимость была устранена.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме
Прежде чем оставить комментарий, пожалуйста, ознакомьтесь с правилами комментирования. Оставляя комментарий, вы подтверждаете ваше согласие с данными правилами и осознаете возможную ответственность за их нарушение.
Все комментарии премодерируются.
Комментарии загружаются...
window-new
Soft
Hard
Тренды 🔥
Режиссёр God of War назвал рецепт удачного портирования игр на ПК и рассказал о причинах неудач разработчиков 8 мин.
Стал известен список трофеев Dying Light 2 — до релиза меньше трёх недель 56 мин.
Microsoft Edge получил ленту, в которой покажет обновления любимых YouTube-каналов пользователя 2 ч.
Видео: новый трейлер Torchlight: Infinite демонстрирует способности героев 3 ч.
Likee и Viber завели личные кабинеты на сайте Роскомнадзора 3 ч.
Московский суд оштрафовал Google на 4 млн рублей — снова за неудаление запрещённой информации 4 ч.
Социальная сеть MyHeritage оштрафована в России по закону о персональных данных 5 ч.
Российские разработчики недовольны покупкой мэрией Москвы софта от Microsoft для образовательных учреждений 5 ч.
Ubisoft выпустит VR-приключение про тушение собора Парижской Богоматери 5 ч.
Уязвимость браузера Safari может привести к утечке данных и раскрытию личности пользователя 6 ч.