Стало известно об интересной уязвимости, затрагивающей API для мобильных приложений «Росреестра». О проблеме в безопасности поведал один из читателей телеграм-канала «Утечки информации».
Неназванный исследователь уточнил, что выявленная брешь позволяет получить персональные данные собственника объекта недвижимости в обход аутентификации и авторизации. Для этого потребуется только кадастровый номер.
Читатель «Утечек информации» также заявил, что все данные об уязвимости были направлены представителям «Росреестра». Тем не менее разработчики до сих пор не устранили обнаруженную брешь.
Как выяснили специалисты, получить персональные данные можно с помощью специально сформированного запроса, который должен содержать кадастровый номер интересующего объекта недвижимости. Правильно выполненный запрос к mobile.rosreestr.ru возвращает следующие сведения:
- ФИО;
- Дата рождения;
- Адрес;
- СНИЛС;
- Паспорт (серия, номер, кем и когда выдан);
- Кадастровая стоимость;
- Дата регистрации права собственности.
