В Android-версии московских госуслуг нашли возможность взлома аккаунта

В Android-версии московских госуслуг нашли возможность взлома аккаунта

В Android-версии мобильного приложения «Госуслуги Москвы» нашлась уязвимость, с помощью которой потенциальный злоумышленник мог получить доступ к аккаунту гражданина, располагая при этом лишь телефонным номером последнего. В настоящий момент разработчики уже пропатчили брешь.

О проблеме безопасности рассказали исследователи из компании Postuf. По их словам, любой желающий мог получить доступ к личному кабинету другого пользователя, указав всего лишь номер его телефона.

Другими словами, в случае успешной эксплуатации уязвимости в руки злоумышленника или любопытного гражданина попадали следующие данные: ФИО, адрес электронной почты, год рождения, номер СНИЛС и ОМС, список имущества, а также информация о загранпаспорте и детях. Именно эти сведения содержатся в личном кабинете приложения «Госуслуги Москвы».

Как отметили сотрудники РБК, ознакомившиеся с выводами Postuf, с помощью номера полиса ОМС можно было получить доступ к медицинской информации россиянина. Для этого достаточно было воспользоваться системой ЕМИАС. Здесь речь идёт уже о крайне личных данных: список врачей, которых посещает гражданин, какие рецепты он получает и тому подобное.

При этом с помощью выявленной бреши можно было не только просмотреть данные в госуслугах, но и отредактировать их. Для самой жертвы такие манипуляции остались бы незамеченными.

Как подчеркнули представители Postuf, разработчики устранили уязвимость после отправки соответствующего запроса в ДИТ.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Украденные у Audi и Volkswagen данные уже продают на форуме

Только неделю назад представители концерна Volkswagen AG сообщили о взломе систем и утечке конфиденциальных данных. Теперь киберпреступники уже продают украденное добро на одном из популярных хакерских форумах.

Как отметили сотрудники Motherboard, изучившие выставленные на продажу данные, некая киберпреступница, действующая под псевдонимом «000» добавила в базу адреса электронной почты и идентификационные номера транспортного средства владельцев автомобилей.

Помимо этого, она опубликовала два образца, в которых уже находились полные имена, адреса электронной почты, почтовые адреса и телефонные номера. Именно эти данные, по словам представителей Volkwagen, и фигурировали в недавней крупной утечке.

Как отметил производитель автомобилей, злоумышленники украли и более личную информацию 90 тысяч пользователей. Например, данные о приобретении транспортного средства, о кредите или аренде.

Помимо этого, в ходе атаки преступники получили доступ к номерам водительских удостоверений ряда граждан США и Канады.

Продавец украденных данных отметил в беседе с Motherboard, что выставленная на продажу база не содержит номеров водительских удостоверений. По словам злоумышленницы, она просит 4-5 тысяч долларов за скомпрометированную информацию.

Напомним, что в недавней утечке Volkswagen и Audi пострадали более 3,3 миллионов текущих или потенциальных покупателей автомобилей Audi. Больше всего инцидент затронул американских граждан.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru