Паспортные данные оштрафованных за нарушение самоизоляции россиян нашли в Сети
По состоянию на 10 мая в Москве выписали уже более 35 000 штрафов за нарушение режима самоизоляции при подтверждённом заболевании COVID-19. Каждому штрафу присвоен уникальный идентификатор начисления (УИН), при вводе которого на специализированных сайтах можно было получить всю информацию о взыскании: когда и кому его выписали. На незащищённость такой системы первым обратил внимание Telegram-канал «Нора Ежика».
Компании, занимающиеся вопросами кибербезопасности, подтвердили наличие уязвимости в системе штрафов Москвы. По словам представителя «Сёрчинформ», вручную заниматься подбором УИН трудоёмко и почти невозможно. Зато программа по подбору номеров может выполнить эту работу за короткое время.
Основатель DeviceLock Ашот Оганесян отметил, что сайты для оплаты штрафов, как правило, не защищены от подобного взлома даже «капчей» (тестом для определения, является ли пользователь системы человеком или компьютером). Для безопасности системы нужно, чтобы попытки многократного введения УИН блокировались, а данные выдавались в частично обезличенном виде.
Кроме того, специалисты по информационной безопасности посоветовали оштрафованным не выкладывать в сеть фотографии или скриншоты постановлений с УИН штрафа, так как это облегчает работу злоумышленникам. А юристы указали, что пострадавшие могут обратиться в Роскомнадзор с просьбой проверить факт утечки и защитить их права. Прокуратура Москвы уже начала проверку по сообщениям об утечке данных нарушителей самоизоляции.
Это не первая претензия к системе «Социальный мониторинг», приложение для которой спешно разработали по заказу властей Москвы. Приложение неоднократно критиковали за передачу данных в незашифрованном виде и начисление штрафов в отсутствие реальных нарушений. Так, в середине мая властям Москвы пришлось аннулировать штрафы, выписанные за селфи, которые пользователи не сделали ночью, по первому требованию приложения. До 22 апреля, когда установили запрет на идентификацию с 22 до 9 часов, успели выписать свыше 460 таких штрафов.
Кроме того, по информации издания Baza, в Москве оштрафовали женщину-инвалида, прикованную к постели, за то, что она не смогла установить приложение «Социального мониторинга», когда ей диагностировали ОРВИ. На проблемы с регистрацией и отправкой фотографий жалуются и другие пользователи: на Google Play и App Store у приложения очень низкий рейтинг.
У «Секрета фирмы» есть канал в Telegram. Подписывайтесь!