Специалисты компании Postuf, занимающейся информационной безопасностью, обнаружили уязвимость в мобильном приложении "Московские Госуслуги" для платформы Android. Ее использование позволило получить доступ к данным, указанным пользователями на сайте сервиса, включая полное имя, адреса почтовых ящиков, номера политик MHI и SNILS, список имущества и т.д.
Кроме того, используя номер политики МЗУ, можно было получить доступ к различным медицинским данным, в том числе к информации о посещенных врачах, выписанных рецептах и др. Источник отмечает, что уязвимость позволила не только просмотреть данные, но и внести в них коррективы. А для пользователей такие изменения могли быть невидимыми, так как система не уведомляет пользователей о внесенных изменениях. Неизвестно, как долго существовала уязвимость и использовалась ли она злоумышленниками на практике. Специалисты говорят, что зная данные с портала, нанести серьезный вред невозможно, но их можно настроить таким образом, чтобы ничего не подозревающие пользователи платформы владели, например, каким-то несуществующим имуществом. Кроме того, персональные данные, хотя и не допускают прямого хищения денег, могут быть использованы злоумышленниками для фишинговых атак.
Департамент информационных технологий города Москвы, специалисты которого разработали портал mos.Ru, не подтвердил наличие уязвимости, отметив, что авторизация в мобильном приложении Мосгосервиса без пароля невозможна. Тем не менее, в заявлении говорилось, что уязвимость была устранена после отправки запроса в Департамент информационных технологий.
