МОСКВА, 18 мая - РИА Новости. Отсутствие надлежащей защиты персональных данных москвичей, оштрафованных за нарушение самоизоляции, может привести к росту мошенничеств, при этом сами проблемы могли возникнуть на внешних сервисах, не имеющих отношения к официальному порталу госуслуг, сообщили опрошенные РИА Новости эксперты.
В понедельник прокуратура Москвы начала проверку после сообщений СМИ об утечке персональных данных нарушителей самоизоляции. Как писал "Коммерсант", паспортные данные таких нарушителей (около 35 тысяч) оказались в открытом доступе на сайтах для оплаты штрафов. Данные можно получить, вбивая номер начисления, который можно подобрать простым перебором, отмечала газета.
По словам руководителя департамента системных решений Group-IB Антона Фишмана, проблемы могли возникнуть на внешних сервисах, не имеющих отношения к официальному порталу госуслуг, но взаимодействующими через Государственную информационную систему о государственных и муниципальных платежах (ГИС ГМП) с госорганами - налоговой, ГИБДД.
"Фактически это внешние платежные шлюзы, через которые нарушители проверяют и оплачивают штрафы ведомствам. И судя по сообщениям о возможности перебора для доступа к персданным нарушителей самоизоляции, разработчики подобных сервисов не уделяют достаточное внимание безопасности - не реализуют защиту от ботов, переборов, оплата и проверка возможна без авторизации. Также госорганы, которые дают возможность внешним сервисам осуществлять такое взаимодействие, должны предъявлять жесткие требования к их разработке, либо обеспечивать защиту на уровне самих интерфейсов", - указал он.
Проблемы нарушителей
Эксперты подтвердили РИА Новости, что личные данные оштрафованных москвичей находятся в открытом доступе и никак не защищены.
"Действительно, на ряде сайтов существует возможность проверки по УИН, который можно получить перебором с помощью достаточно простого скрипта. Несмотря на то, что УИН состоит из 20 или 25 цифр, перебор его - достаточно простая задача, особенно с учетом того, что одна цифра представляет собой контрольный разряд. При этом часть таких сайтов не имеют механизмов защиты от подбора – ни ограничения числа запросов с одного IP, ни капчи", - рассказал основатель и технический директор DeviceLock Ашот Оганесян.
Начальник отдела информационной безопасности "СёрчИнформ" Алексей Дрозд отметил, что при проверке появившейся в сети информации эксперты компании обнаружили, что проблема актуальна и для плательщиков штрафов нарушений ПДД.
"В системе есть две недоработки с точки зрения защиты данных. Во-первых, при введении номера УИН остальная информация о нарушителе выводится на экран в полном виде. Она должна быть частично скрыта: по усеченным данным, например, последним нескольким цифрам номера документа оштрафованный может убедиться, что штраф выписан, действительно, на него. Третьему же лицу они ничего не скажут. Вторая проблема – система на момент нашей проверки не блокировала попытки многократных обращений к ней. Таким образом, злоумышленник может просто перебирать УИНы, чтобы собирать чужие данные. Вручную это, конечно, трудоемко и нецелесообразно, но специальные программы справятся с этой задачей легко", - рассказал он.
Псевдоштрафы
По словам экспертов, полученные личные данные россиян мошенники могут использовать в разнообразных атаках.
"Самая распространенная форма мошенничества с данными о начисленных штрафах – рассылка предложений об оплате части суммы, которая якобы позволит избежать уплаты штрафа полностью. При этом в таких документах приводятся реквизиты подставных компаний и, естественно, никакого списания штрафа не происходит", - рассказал Оганесян.
"Также возможно использование полученных персональных данных и информации об автомобиле для генерации фальшивых постановлений о привлечении к административной ответственности, также содержащих мошеннические реквизиты для оплаты", - добавил он.
Дрозд также указал на эти виды мошенничества: "В случае со штрафами за нарушение самоизоляции сценарии для социальной инженерии напрашиваются сами собой, так как тема резонансная. Злоумышленники могут предлагать помощь в обжаловании, сообщать, что штраф был выписан ошибочно и уточнять данные для возврата уплаченных денег и т.д".
Эксперт добавил, что персональные данные мошенники могут использовать и в приемах социальной инженерии. "После крупной утечки персданных всегда следует серия телефонных мошенничеств, спама, так как у мошенников появляется информация, с которой получается гораздо убедительнее притвориться "сотрудником банка" или какой-то другой госорганизации, не вызывая недоверия. А дальше призывать к действиям, чтобы собирать платежные данные, заражать компьютеры или вымогать деньги – в зависимости от задач злоумышленника", - пояснил он.