26 Янв
от Анна Смирнова
Мы вчера видели, что некоторые телеграмм-каналы писали, о том, что в даркнете выставили на продажу базу данных QR-кодов вакцинированных от короны. По словам продавца база была получена из приложения «Госуслуги СТОП Коронавирус». Продавец утверждает, что в полной базе 48 млн строк и он продает ее за нереальные $100 тыс. Образец базы из 10 тысяч строк содержит первые буквы фамилии, имени и отчества на русском и английском языках, дату рождения, а также УНРЗ – уникальный номер пациента в регистре Минздрава. Кроме того, данные включают первые две цифры серии и последние три цифры номера паспорта, название вакцины, которой был привит человек, а также непосредственно QR-код в формате PNG, закодированный в Base64, со сроком действия. Выборочная проверка от телеграмм-канала «Утечки информации» показала, что QR-коды действительные, ведут на сайт Госуслуг и данные в образце полностью совпадают с тем, что указано на официальной странице проверки QR-кодов.
Еще полгода назад «Медиазона» обнаружила уязвимость на сайте «Госуслуг», они тогда изучали ковидный реестр, и с ужасом обнаружили, что данные из сертификатов о вакцинации просто торчат наружу. Т. е одна из старых ссылок для проверки действительности сертификатов о вакцинации позволяла раскрыть его данные без авторизации. Номер сертификата состоит из 16 цифр — 9, номера региона и номера УНРЗ, который формируется последовательно для каждого привитого. Подставив в эту ссылку номер УНРЗ и подобрав номер региона, можно было получить информацию о каждом вакцинированном в России.
«Медиазона» в свою очередь, сообщила о проблеме и подробно описала уязвимость «Ростелекому», а также направила информацию в пресс-службу Минцифры, но так и не получила ответа. На 15 декабря уязвимость так и не была устранена.
Кстати, Госуслуги вчера вечером оперативно отреагировали на эту новость и возможность проверки QR-кодов по УНРЗ больше не работает. Соответственно, все QR-коды в продающейся на форуме базе уже не действительны. А РИА Новости сегодня ночью озвучило и версию Ростелекома: что персональные данные в безопасности, специалисты компании провели выборочную проверку выставленных в качестве демо-версии QR-кодов и подтвердили их неработоспособность. Проснулись и чиновники из Минцифры, которые также начали проверку сообщений телеграм-каналов об утечке данных из приложения «Госуслуги СТОП коронавирус».
И сообщили, что угроз для безопасности личных данных пользователей приложения нет. Ну, это с какой стороны смотреть, формально в слитой базе нет полных персональных данных, но эту базу можно обогатить при помощи других.
По данным ГК InfoWatch, в 2020 году было зафиксировано 2395 случаев утечки информации ограниченного доступа из коммерческих компаний, государственных органов и организаций. Примерно 11 млрд записей персональных данных и платежной информации были слиты из-за подобных утечек. Это имена и фамилии, адреса электронной почты, номера телефонов, пароли, сведения о постоянном месте жительства, номера социального страхования, реквизиты банковских карт и данные о банковских счетах.
Согласно исследованию компании BI.ZONE, информация о логинах и паролях примерно 1,2 млн россиян находится в свободном доступе в интернете из-за утечек данных, причем именно в интернете, а не в даркнете, то есть за эту информацию не нужно даже платить.
Вот, что делать обычному гражданину, чтобы на него не оформили микрозаймы, не открыли ИП или не увели последние деньги? Ответ: ничего. Решение проблемы только одно, чиновник, который отвечает за определенный набор данных, должен нести личную ответственность за их сохранность! Должен случиться прецедент как минимум административной ответственности в виде увольнения людей, которые теоретически за это должны отвечать. Иначе, течь не перестанет. Но, много ли вы видели чиновников, которые несут хоть за что-то, хоть какую-то капельку ответственности?
Просмотров:
88