Полиция получит доступ к фото из профилей на сайте правительства Москвы
Главная » Новости

Полиция получит доступ к фото из профилей на сайте правительства Москвы

Татьяна Никитина 13 Октября 2021 - 15:36
...
Полиция получит доступ к фото из профилей на сайте правительства Москвы

На портал mos.ru планируется добавить функцию передачи загруженных юзерами фотографий в систему сбора и хранения данных, которую используют полицейские. Опрошенные «Ъ» эксперты полагают, что фото москвичей нужны как образцы для тренировки системы распознавания лиц, помогающей силовикам выявлять правонарушения и отыскивать преступников.

О новых планах столичной мэрии журналисты узнали, обнаружив на сайте госзакупок контракт, заключенный госучреждением «Информационный город» с пермской компанией «Брайт софт». Проект предполагает разработку и внедрение на mos.ru процедуры сохранения «эталонной фотографии из профиля пользователя в дополнительную галерею подсистемы автоматической регистрации сценариев индексирования видеоинформации (ПАРСИВ) Единого центра хранения данных (ЕЦХД) ГУ МВД по Москве».

Подрядчик также должен обеспечить сбор медиаданных и телеметрии смартфонов пользователей — чтобы ускорить реагирование на обращения граждан в службу поддержки, как пояснили «Ъ» в департаменте информационных технологий Москвы. Сумма контракта — 236 млн рублей, сроки реализации — 440 дней.

Зачем понадобилось передавать фото пользователей mos.ru в ПАРСИВ ЕЦХД, журналистам узнать не удалось. Поскольку ЕЦХД обрабатывает данные с камер видеонаблюдения, подключенных к городской системе распознавания лиц, можно предположить, что фото москвичей будут использоваться для улучшения результатов анализа изображений на основе ИИ-технологий.

В начале сентября стало известно, что власти Москвы выделили 130 млн рублей на модернизацию ИТ-решения ПАРСИВ, позволяющего полицейским подключаться к городской системе распознавания лиц. Не исключено, что столичный опыт автоматизированной охраны правопорядка со временем распространится в масштабах всей страны.

Update:

Департамент информационных технологий Москвы поспешил опровергнуть появившуюся в СМИ информацию о планируемой передаче фото пользователей mos.ru в ПАРСИВ ЕЦХД. Согласно опубликованному разъяснению, загрузка фото в личном кабинете mos.ru не предусмотрена. В то же время пользователи имеют возможность загружать такие изображения на портал при подаче заявок на получение госуслуг. Загруженные пользователем фото в итоге оседают в хранилище ЕЦХД.

Следующая главная новость »
AM LiveПодписывайтесь на телеграм-канал AM Live, чтобы всегда быть в курсе самых горячих и свежих новостей. Присоединяйтесь! »

Критическая уязвимость в TLP позволяет обойти защиту Linux
Екатерина Быстрова 08 Января 2026 - 18:51
Linux Уязвимости программ Домашние пользователиКорпорации
Критическая уязвимость в TLP позволяет обойти защиту Linux

В популярной утилите TLP, которую многие владельцы ноутбуков на Linux используют для управления энергопотреблением, обнаружили критическую уязвимость. Причём проблема нашлась во время обычной проверки пакета командой SUSE Security Team и располагается во вполне штатном коде.

Брешь получила идентификатор CVE-2025-67859 и затрагивает версию TLP 1.9.0, где появился новый profiles daemon.

Этот демон работает с root-правами и управляет профилями питания через D-Bus. Задумка хорошая, но реализация подвела: в механизме аутентификации Polkit нашлась логическая ошибка, которая фактически позволяет обойти проверку прав.

Как объясняют исследователи, демон должен был строго проверять, кто именно отправляет команды. Но из-за ошибки любой локальный пользователь мог взаимодействовать с ним без должной аутентификации — а значит, менять системные настройки питания от имени root.

На этом сюрпризы не закончились. В ходе анализа специалисты SUSE нашли ещё несколько проблем, уже связанных с исчерпанием ресурсов. В частности, механизм profile hold, который позволяет временно «зафиксировать» профиль питания, оказался совершенно без валидации. Локальный пользователь мог создавать неограниченное количество таких блокировок, причём без прав администратора.

В итоге это открывает прямую дорогу к DoS-атаке: демон начинает захлёбываться от бесконечных записей в структуре данных, куда попадают числа, строки с причиной и идентификаторы приложений — всё это полностью контролируется клиентом.

Любопытно, что SUSE вспомнила похожую историю с демоном управления питанием в GNOME: аналогичную проблему находили ещё несколько лет назад. Отдельно исследователи отметили вопросы к механизму «куки», которыми отслеживаются profile hold. Формально речь шла о предсказуемости значений, но в сочетании с отсутствием лимитов это лишь расширяло поверхность атаки.

К счастью, реакция была быстрой. SUSE сообщила об уязвимостях разработчикам ещё в декабре, и в версии TLP 1.9.1 проблема уже закрыта. В частности, число одновременных profile hold теперь жёстко ограничено числом 16, что убирает риск истощения ресурсов.

AM LiveПодписывайтесь на телеграм-канал AM Live, чтобы всегда быть в курсе самых горячих и свежих новостей. Присоединяйтесь! »
PT Data Security ускорила классификацию данных и анализ рисков
Новость
PT Data Security ускорила классификацию данных и анализ риск...
На промышленность пришлось 12% кибератак — второе место в России
Новость
На промышленность пришлось 12% кибератак — второе место в Ро...
В США братья попытались скрыть взлом госданных с помощью ИИ
Новость
В США братья попытались скрыть взлом госданных с помощью ИИ

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.