https://ria.ru/20200518/1571624258.html
Эксперты рассказали, с чем связаны утечки данных оштрафованных москвичей
Эксперты рассказали, с чем связаны утечки данных оштрафованных москвичей - РИА Новости, 18.05.2020
Эксперты рассказали, с чем связаны утечки данных оштрафованных москвичей
Отсутствие надлежащей защиты персональных данных москвичей, оштрафованных за нарушение самоизоляции, может привести к росту мошенничеств, при этом сами проблемы РИА Новости, 18.05.2020
2020-05-18T15:56
2020-05-18T15:56
2020-05-18T15:56
общество
group-ib
мошенничество
россия
коронавирус covid-19
коронавирус в россии
https://cdnn21.img.ria.ru/images/07e4/04/1c/1570706446_0:100:1920:1180_1920x0_80_0_0_da2e7683a25b4861490e52e283469bcb.jpg
МОСКВА, 18 мая - РИА Новости. Отсутствие надлежащей защиты персональных данных москвичей, оштрафованных за нарушение самоизоляции, может привести к росту мошенничеств, при этом сами проблемы могли возникнуть на внешних сервисах, не имеющих отношения к официальному порталу госуслуг, сообщили опрошенные РИА Новости эксперты.В понедельник прокуратура Москвы начала проверку после сообщений СМИ об утечке персональных данных нарушителей самоизоляции. Как писал "Коммерсант", паспортные данные таких нарушителей (около 35 тысяч) оказались в открытом доступе на сайтах для оплаты штрафов. Данные можно получить, вбивая номер начисления, который можно подобрать простым перебором, отмечала газета.По словам руководителя департамента системных решений Group-IB Антона Фишмана, проблемы могли возникнуть на внешних сервисах, не имеющих отношения к официальному порталу госуслуг, но взаимодействующими через Государственную информационную систему о государственных и муниципальных платежах (ГИС ГМП) с госорганами - налоговой, ГИБДД."Фактически это внешние платежные шлюзы, через которые нарушители проверяют и оплачивают штрафы ведомствам. И судя по сообщениям о возможности перебора для доступа к персданным нарушителей самоизоляции, разработчики подобных сервисов не уделяют достаточное внимание безопасности - не реализуют защиту от ботов, переборов, оплата и проверка возможна без авторизации. Также госорганы, которые дают возможность внешним сервисам осуществлять такое взаимодействие, должны предъявлять жесткие требования к их разработке, либо обеспечивать защиту на уровне самих интерфейсов", - указал он.Проблемы нарушителейЭксперты подтвердили РИА Новости, что личные данные оштрафованных москвичей находятся в открытом доступе и никак не защищены."Действительно, на ряде сайтов существует возможность проверки по УИН, который можно получить перебором с помощью достаточно простого скрипта. Несмотря на то, что УИН состоит из 20 или 25 цифр, перебор его - достаточно простая задача, особенно с учетом того, что одна цифра представляет собой контрольный разряд. При этом часть таких сайтов не имеют механизмов защиты от подбора – ни ограничения числа запросов с одного IP, ни капчи", - рассказал основатель и технический директор DeviceLock Ашот Оганесян.Начальник отдела информационной безопасности "СёрчИнформ" Алексей Дрозд отметил, что при проверке появившейся в сети информации эксперты компании обнаружили, что проблема актуальна и для плательщиков штрафов нарушений ПДД."В системе есть две недоработки с точки зрения защиты данных. Во-первых, при введении номера УИН остальная информация о нарушителе выводится на экран в полном виде. Она должна быть частично скрыта: по усеченным данным, например, последним нескольким цифрам номера документа оштрафованный может убедиться, что штраф выписан, действительно, на него. Третьему же лицу они ничего не скажут. Вторая проблема – система на момент нашей проверки не блокировала попытки многократных обращений к ней. Таким образом, злоумышленник может просто перебирать УИНы, чтобы собирать чужие данные. Вручную это, конечно, трудоемко и нецелесообразно, но специальные программы справятся с этой задачей легко", - рассказал он.ПсевдоштрафыПо словам экспертов, полученные личные данные россиян мошенники могут использовать в разнообразных атаках."Самая распространенная форма мошенничества с данными о начисленных штрафах – рассылка предложений об оплате части суммы, которая якобы позволит избежать уплаты штрафа полностью. При этом в таких документах приводятся реквизиты подставных компаний и, естественно, никакого списания штрафа не происходит", - рассказал Оганесян."Также возможно использование полученных персональных данных и информации об автомобиле для генерации фальшивых постановлений о привлечении к административной ответственности, также содержащих мошеннические реквизиты для оплаты", - добавил он.Дрозд также указал на эти виды мошенничества: "В случае со штрафами за нарушение самоизоляции сценарии для социальной инженерии напрашиваются сами собой, так как тема резонансная. Злоумышленники могут предлагать помощь в обжаловании, сообщать, что штраф был выписан ошибочно и уточнять данные для возврата уплаченных денег и т.д".Эксперт добавил, что персональные данные мошенники могут использовать и в приемах социальной инженерии. "После крупной утечки персданных всегда следует серия телефонных мошенничеств, спама, так как у мошенников появляется информация, с которой получается гораздо убедительнее притвориться "сотрудником банка" или какой-то другой госорганизации, не вызывая недоверия. А дальше призывать к действиям, чтобы собирать платежные данные, заражать компьютеры или вымогать деньги – в зависимости от задач злоумышленника", - пояснил он.
https://ria.ru/20200518/1571623839.html
https://ria.ru/20200518/1571614137.html
https://ria.ru/20200516/1571534264.html
https://ria.ru/20200121/1563675725.html
россия
РИА Новости
internet-group@rian.ru
7 495 645-6601
ФГУП МИА «Россия сегодня»
https://xn--c1acbl2abdlkab1og.xn--p1ai/awards/
2020
РИА Новости
internet-group@rian.ru
7 495 645-6601
ФГУП МИА «Россия сегодня»
https://xn--c1acbl2abdlkab1og.xn--p1ai/awards/
Новости
ru-RU
https://ria.ru/docs/about/copyright.html
https://xn--c1acbl2abdlkab1og.xn--p1ai/
РИА Новости
internet-group@rian.ru
7 495 645-6601
ФГУП МИА «Россия сегодня»
https://xn--c1acbl2abdlkab1og.xn--p1ai/awards/
https://cdnn21.img.ria.ru/images/07e4/04/1c/1570706446_107:0:1814:1280_1920x0_80_0_0_f793c87d4b754e38dee2366e0251b3af.jpgРИА Новости
internet-group@rian.ru
7 495 645-6601
ФГУП МИА «Россия сегодня»
https://xn--c1acbl2abdlkab1og.xn--p1ai/awards/
РИА Новости
internet-group@rian.ru
7 495 645-6601
ФГУП МИА «Россия сегодня»
https://xn--c1acbl2abdlkab1og.xn--p1ai/awards/
общество, group-ib, мошенничество, россия, коронавирус covid-19, коронавирус в россии
Общество, Group-IB, Мошенничество, Россия, Коронавирус COVID-19, Коронавирус в России
МОСКВА, 18 мая - РИА Новости. Отсутствие надлежащей защиты персональных данных москвичей, оштрафованных за нарушение самоизоляции, может привести к росту мошенничеств, при этом сами проблемы могли возникнуть на внешних сервисах, не имеющих отношения к официальному порталу госуслуг, сообщили опрошенные РИА Новости эксперты.
В понедельник прокуратура Москвы начала проверку после сообщений СМИ об утечке персональных данных нарушителей самоизоляции. Как писал
"Коммерсант", паспортные данные таких нарушителей (около 35 тысяч) оказались в открытом доступе на сайтах для оплаты штрафов. Данные можно получить, вбивая номер начисления, который можно подобрать простым перебором, отмечала газета.
По словам руководителя департамента системных решений
Group-IB Антона Фишмана, проблемы могли возникнуть на внешних сервисах, не имеющих отношения к официальному порталу госуслуг, но взаимодействующими через Государственную информационную систему о государственных и муниципальных платежах (ГИС ГМП) с госорганами - налоговой, ГИБДД.
"Фактически это внешние платежные шлюзы, через которые нарушители проверяют и оплачивают штрафы ведомствам. И судя по сообщениям о возможности перебора для доступа к персданным нарушителей самоизоляции, разработчики подобных сервисов не уделяют достаточное внимание безопасности - не реализуют защиту от ботов, переборов, оплата и проверка возможна без авторизации. Также госорганы, которые дают возможность внешним сервисам осуществлять такое взаимодействие, должны предъявлять жесткие требования к их разработке, либо обеспечивать защиту на уровне самих интерфейсов", - указал он.
Эксперты подтвердили РИА Новости, что личные данные оштрафованных москвичей находятся в открытом доступе и никак не защищены.
"Действительно, на ряде сайтов существует возможность проверки по УИН, который можно получить перебором с помощью достаточно простого скрипта. Несмотря на то, что УИН состоит из 20 или 25 цифр, перебор его - достаточно простая задача, особенно с учетом того, что одна цифра представляет собой контрольный разряд. При этом часть таких сайтов не имеют механизмов защиты от подбора – ни ограничения числа запросов с одного IP, ни капчи", - рассказал основатель и технический директор DeviceLock Ашот Оганесян.
Начальник отдела информационной безопасности "СёрчИнформ" Алексей Дрозд отметил, что при проверке появившейся в сети информации эксперты компании обнаружили, что проблема актуальна и для плательщиков штрафов нарушений ПДД.
"В системе есть две недоработки с точки зрения защиты данных. Во-первых, при введении номера УИН остальная информация о нарушителе выводится на экран в полном виде. Она должна быть частично скрыта: по усеченным данным, например, последним нескольким цифрам номера документа оштрафованный может убедиться, что штраф выписан, действительно, на него. Третьему же лицу они ничего не скажут. Вторая проблема – система на момент нашей проверки не блокировала попытки многократных обращений к ней. Таким образом, злоумышленник может просто перебирать УИНы, чтобы собирать чужие данные. Вручную это, конечно, трудоемко и нецелесообразно, но специальные программы справятся с этой задачей легко", - рассказал он.
По словам экспертов, полученные личные данные россиян мошенники могут использовать в разнообразных атаках.
"Самая распространенная форма мошенничества с данными о начисленных штрафах – рассылка предложений об оплате части суммы, которая якобы позволит избежать уплаты штрафа полностью. При этом в таких документах приводятся реквизиты подставных компаний и, естественно, никакого списания штрафа не происходит", - рассказал Оганесян.
"Также возможно использование полученных персональных данных и информации об автомобиле для генерации фальшивых постановлений о привлечении к административной ответственности, также содержащих мошеннические реквизиты для оплаты", - добавил он.
Дрозд также указал на эти виды мошенничества: "В случае со штрафами за нарушение самоизоляции сценарии для социальной инженерии напрашиваются сами собой, так как тема резонансная. Злоумышленники могут предлагать помощь в обжаловании, сообщать, что штраф был выписан ошибочно и уточнять данные для возврата уплаченных денег и т.д".
Эксперт добавил, что персональные данные мошенники могут использовать и в приемах социальной инженерии. "После крупной утечки персданных всегда следует серия телефонных мошенничеств, спама, так как у мошенников появляется информация, с которой получается гораздо убедительнее притвориться "сотрудником банка" или какой-то другой госорганизации, не вызывая недоверия. А дальше призывать к действиям, чтобы собирать платежные данные, заражать компьютеры или вымогать деньги – в зависимости от задач злоумышленника", - пояснил он.