Приложение МосОблЕирц разглашает персональные данные абонентов

Приложение МосОблЕирц разглашает персональные данные абонентов

Приложение МосОблЕирц разглашает персональные данные абонентов

Пользователь «Хабра» сообщил о критической дыре в приложении от МосОблЕирц (Московский областной единый информационно-расчётный центр). Сообщается, что уязвимость довольно старая, благодаря ей персональные данные пользователей могут попасть в руки третьих лиц.

Исследователь, известный под псевдонимом bofh, так комментирует свою находку:

«”Дыре”, скорее всего, столько же лет, сколько и их мобильному приложению, и, возможно, ей уже давно кто-то пользуется. <…> Никто не думал, что можно батчем начислить 2.4 миллионам обслуживаемых абонентов рандомные расходы по счетчикам».

Также bofh подчеркивает, что злоумышленник, используя эту брешь, может получить ФИО и адрес абонентов МосОблЕирц.

Все началось с того, что знакомый bofh установил себе соответствующее приложение, указав свой личный счет. Но потом выяснилось, что он ошибся (есть еще версия, что сделал это специально) на единицу, что позволило ему получить вместо своей квартиры — следующую.

Таким образом, любой авторизовавшийся пользователь может просто подставлять различные коды личного счета, что будет выдавать ему ФИО и адреса этих абонентов.

«Опытным путем было установлено, что первые три цифры определяют город. Начислять данные по счетчикам чужим ЛС тоже, разумеется, можно. Программным способом начислять не пробовал, и надеюсь, никто не попробует», — продолжает пользователь «Хабра».

Как видно, это достаточно серьезная брешь в безопасности, которую нужно срочно устранять. Однако…

«Да, я пытался связаться с разработчиками. Нет, ответа не было»…

Лучшей защитой от ИИ-атак оказался человек, который никому не верит

ИИ уже прочно засел в кибербезопасности: в 2026 году его используют 78% специалистов против 50% годом ранее. Он сортирует события, помогает разбирать логи, пишет отчёты и расставляет приоритеты. Казалось бы, мечта. Но есть нюанс: доверять ему по-прежнему опасно.

По данным опроса SANS среди 536 ИТ- и ИБ-специалистов, 63% пользователей сталкиваются с серьёзными ошибками ИИ при обнаружении угроз и реагировании на них.

Главные проблемы — ложные срабатывания, слабая работа с новыми атаками и уверенные ответы, которые оказываются полной ерундой.

Две трети опрошенных признались, что за последний год ИИ хотя бы раз направлял их по ложному следу. Каждый одиннадцатый сталкивался с этим более 20 раз. Поэтому в отрасли всё чаще советуют относиться к нейросети как к стажёру: поручать рутину можно, отпускать без проверки — нет.

При этом атакующие тоже не дремлют. 78% организаций сообщили об атаках с применением ИИ: 45% подтвердили это, ещё 33% подозревают. Главная опасность не в каком-то магическом новом вредоносе, а в скорости. Разведка, перемещение по сети и запуск скриптов теперь могут занимать минуты, а не часы.

И вот тут привычные планы реагирования начинают разваливаться. Пока дежурный проснулся, открыл ноутбук и понял, что происходит, злоумышленник уже ушёл дальше.

Самыми эффективными мерами специалисты назвали поведенческое обнаружение, обучение сотрудников, проверку аналитиком и Zero Trust. Специализированные ИИ-защиты от ИИ оказались внизу списка.

Вывод неприятно простой: против умной атаки лучше всего работает не ещё одна нейросеть, а опытный человек с привычкой всё перепроверять.

RSS: Новости на портале Anti-Malware.ru