Приложение МосОблЕирц разглашает персональные данные абонентов

Приложение МосОблЕирц разглашает персональные данные абонентов

Приложение МосОблЕирц разглашает персональные данные абонентов

Пользователь «Хабра» сообщил о критической дыре в приложении от МосОблЕирц (Московский областной единый информационно-расчётный центр). Сообщается, что уязвимость довольно старая, благодаря ей персональные данные пользователей могут попасть в руки третьих лиц.

Исследователь, известный под псевдонимом bofh, так комментирует свою находку:

«”Дыре”, скорее всего, столько же лет, сколько и их мобильному приложению, и, возможно, ей уже давно кто-то пользуется. <…> Никто не думал, что можно батчем начислить 2.4 миллионам обслуживаемых абонентов рандомные расходы по счетчикам».

Также bofh подчеркивает, что злоумышленник, используя эту брешь, может получить ФИО и адрес абонентов МосОблЕирц.

Все началось с того, что знакомый bofh установил себе соответствующее приложение, указав свой личный счет. Но потом выяснилось, что он ошибся (есть еще версия, что сделал это специально) на единицу, что позволило ему получить вместо своей квартиры — следующую.

Таким образом, любой авторизовавшийся пользователь может просто подставлять различные коды личного счета, что будет выдавать ему ФИО и адреса этих абонентов.

«Опытным путем было установлено, что первые три цифры определяют город. Начислять данные по счетчикам чужим ЛС тоже, разумеется, можно. Программным способом начислять не пробовал, и надеюсь, никто не попробует», — продолжает пользователь «Хабра».

Как видно, это достаточно серьезная брешь в безопасности, которую нужно срочно устранять. Однако…

«Да, я пытался связаться с разработчиками. Нет, ответа не было»…

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Microsoft починила сбой со списками в Пуске на Windows 10 22H2

Если у вас в последнее время не открывались списки последних файлов при правом клике по иконке приложений в меню «Пуск» — вы не один. Microsoft сломала эту функцию в Windows 10 версии 22H2… и вроде как уже починила.

Речь о так называемых jump list — это когда ты кликаешь правой кнопкой по иконке, скажем, Word или Проводника, и сразу видишь список недавно открытых документов или папок. Очень удобно, если работает.

По данным с официального дашборда здоровья Windows, сбой вызвал Controlled Feature Rollout (CFR) — механизм постепенного добавления новых функций.

В марте 2025 Microsoft начала внедрять обновлённый интерфейс управления учётными записями, и именно с ним что-то пошло не так. Пользователи стали жаловаться, что списки не открываются вообще.

После шквала жалоб Microsoft приостановила развёртывание новой функции 25 апреля. Как уверяет компания, новые устройства теперь не должны сталкиваться с этой проблемой, а у тех, кто уже успел пострадать, она больше не должна повторяться.

А пострадали в основном пользователи домашних и Pro-версий Windows 10. Если у вас всё ещё не работает — проверьте подключение к интернету и перезагрузите компьютер: исправление уже должно подтянуться автоматически.

Это не первый глюк в Windows 10 за последнее время. До этого Microsoft уже исправляла баги, которые:

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru