Эксперт заявил о позволяющей красть данные россиян уязвимости сайта электронных повесток

Электронный реестр повесток позволяет украсть данные россиян с «Госуслуг». Для доступа достаточно знать персональный идентификатор пользователя на сервисе государственных услуг, сообщила «Новая газета Европа» со ссылкой на анонимного эксперта в области кибербезопасности.

Зная ID, через уязвимость можно получить информацию о полном имени человека, дате и месте рождения, адресе регистрации, других паспортных данных, СНИЛС, ИНН, о других выданных документах и, например, договорах страхования, пишет «Новая газета Европа». По слова эксперта издания, таким способом можно украсть не только персональные данные людей, включенных в единую базу электронных повесток, но любых имеющих аккаунт на «Гоуслугах», в том числе женщин.

После регистрации на сайте реестрповесток.рф у пользователя появляется возможность отправить API-запрос с ID искомого человека, объяснил эксперт. После нескольких запросов реестрповесток.рф блокирует IP пользователя, но это легко обходится при помощи прокси или VPN, добавил собеседник издания.

Как избежать мобилизации после принятия закона об электронных повестках
Общество10 минут чтения

Сайт повесток не проверяет, запрашивает пользователь данные о себе или о другом человеке, «из-за чего и возникает уязвимость», — сказал эксперт. Благодаря уязвимости доступ к персональным данным россиян могут получить злоумышленники, предупредил он.

Минцифры не видит на сайте реестра электронных повесток «утечек и уязвимостей», сообщило РИА «Новости». В министерстве заявили, что данные пользователей защищены, а сам портал «невозможно взломать», поскольку для его защиты используется «многоэшелонированный подход».

Молодой человек покончил с собой на сборном призывном пункте. Что известно о нем и о месте, где закончилась его жизнь
Общество9 минут чтения

Реестр повесток начал работать 18 сентября. На сайте говорится, что «проверка единого реестра воинского учета» пока проводится в трех регионах: Рязанской и Сахалинской области, а также Республике Марий Эл. «Для обеспечения защищенного соединения» сайт предлагает пользователю установить российский сертификат безопасности. С помощью такого сертификата силовики могут отслеживать трафик в браузере и мессенджерах.

На сайте реестра сказано, что повестка в военкомат считается врученной либо после подписи адресата на повестке, либо в день отказа от ее получения, либо в день получения бумажного письма с повесткой, либо через семь дней после ее размещения в едином реестре.

Согласно изменившемуся после начала полномасштабной войны законодательству, если не явиться в военкомат по повестке, можно лишиться права управлять транспортом, регистрировать транспорт и недвижимость, получать кредиты, регистрироваться в качестве ИП или самозанятого. Ограничения должны быть сняты только через сутки после визита в военкомат.

Чтобы не пропускать главные материалы «Холода», подпишитесь на наши социальные сети!