Приложение московских госуслуг предоставляло возможность получить доступ к любому аккаунту по одному лишь номеру телефона, рассказали эксперты компании Postuf. По их словам, в настоящий момент разработчики уже успели устранить эту уязвимость.
Основатель компании заявил, что оперативность разработчиков радует, но подобные «дыры» оставлять ни в коем случае нельзя. Все дело в том, что уязвимость позволяла ввести лишь номер телефона, зайти в чужой аккаунт и получить все персональные данные человека.
Кроме того, специалисты ради эксперимента добавили в чужую учетную запись несуществующий автомобиль, изменили несколько других записей (с согласия «жертвы»). При этом владелец аккаунта мог даже не узнать о том, что его информация изменена.
Сейчас «дыра» устранена, но никто не знает, сколько она просуществовала до того момента, как была обнаружена. Все это время злоумышленники вполне могли заниматься вредительством – менять показания счетчиков и увеличивать тем самым счета за услуги ЖКХ, вносить информацию о квартирах, дачах и машинах, которых у человека нет, изменять состав семьи.