Эксперты нашли уязвимость в приложении «Госуслуги Москвы»
Эксперты из компании Postuf подробно рассказали об уязвимости, выявленной в приложении «Госуслуги Москвы», работающем на базе ОС Android. Баг поможет хакерам получить доступ к аккаунту по номеру телефона.
Бекхан Гендаргеноевский рассказал, что выявленный недочет своевременно устранен. С его помощью злоумышленники могли украсть номер СНИЛС, ОМС, электронную почту, дату рождения, узнать об имеющемся имуществе. Зная страховые данные, хакер мог пойти дальше и узнать сведения о болезнях конкретного человека, выписанных рецептах, посещаемых врачах.
Уязвимость позволяла киберпреступникам вносить в анкету поправки. В Postuf наглядно показали, как это работало, внеся данные о несуществующей машине в профиль корреспондента. Навредить человеку с помощью украденных данных нельзя, но можно «потрепать нервы». К примеру, злоумышленник мог незаметно перенести запись к врачу или изменить показания счетчиков.
В столичном Департаменте информационных технологий данные о баге опровергли, заявив, что выполнить описанные манипуляции без пароля не получится. Чиновники попробовали повторить эксперимент Postuf, но приложение выдало ошибку авторизации.
Источник: www.rbc.ru
Изображение взято с: pxhere.com
Бекхан Гендаргеноевский рассказал, что выявленный недочет своевременно устранен. С его помощью злоумышленники могли украсть номер СНИЛС, ОМС, электронную почту, дату рождения, узнать об имеющемся имуществе. Зная страховые данные, хакер мог пойти дальше и узнать сведения о болезнях конкретного человека, выписанных рецептах, посещаемых врачах.
Уязвимость позволяла киберпреступникам вносить в анкету поправки. В Postuf наглядно показали, как это работало, внеся данные о несуществующей машине в профиль корреспондента. Навредить человеку с помощью украденных данных нельзя, но можно «потрепать нервы». К примеру, злоумышленник мог незаметно перенести запись к врачу или изменить показания счетчиков.
В столичном Департаменте информационных технологий данные о баге опровергли, заявив, что выполнить описанные манипуляции без пароля не получится. Чиновники попробовали повторить эксперимент Postuf, но приложение выдало ошибку авторизации.
Источник: www.rbc.ru
