Эксперты компании Postuf заявили об уязвимости в приложении московских государственных услуг на базе Android, посредством которых стало возможным получить доступ к аккаунту, имея в распоряжении только мобильный номер пользователя. К моменту опубликования в СМИ данной информации, пробел был уже устранен.
Рассказал об этом Бекхан Гендаргеноевский, являющийся основателем компании Postuf. Такая «дыра» предоставила возможность получить все данные, указанные пользователем на сайте московских сервисов. Речь идет о ФИО, электронном адресе, годе рождения, номера ОМС и СНИЛС, списке имущества и другой информации.
Таким образом, имея доступ к ОМС и году рождения, можно посредством системы ЕМИАС с легкостью получить доступ к медицинской информации о том, каких врачей посещает пользователь, какие лекарства ему выписывает врач и так далее.
При этом такая уязвимость портала позволяла не только просматривать информацию, но и менять ее по своему желанию. При этом сам владелец аккаунта мог даже не подозревать о внесенных мошенниками изменениях, поскольку системой не предусмотрено уведомление пользователей об этом.