«Кабинет жителя» Днепра ненадёжно защищает данные горожан
Сегодня в Украине запустили онлайн-сервис «Кабінет мешканця м. Дніпра» - единый интерфейс для всех оцифрованных государственных услуг, который работает на базе iGov.
Так, через «Кабинет» можно оформить субсидию, занять очередь в детский сад, зарегистрировать предпринимательскую деятельность и так далее, сообщает сайт местного горсовета.
В день запуска обнаружилась и уязвимость сервиса: если получить индивидуальную ссылку пользователя, можно узнать его персональную информацию. На сайте «Кабинета» подключена безопасная авторизация через BankID или ЭЦП. Но услуги указываются на сайте iGov, куда пользователя отправляют после авторизации. Для подтверждения, iGov опирается на уникальную ссылку, в которую внесен идентификатор сессии. Ссылку можно получить из истории посещений браузера или адресной строки, нажав «Назад» при первом редиректе на iGov.
В итоге персонализированная ссылка позволяет любому, кто ее получит, узнать следующее:
- ФИО;
- паспортные данные;
- ИНН;
- номер телефона.
О проблеме первым написал предприниматель Андрей Хорсев. Он уточнил, что этих данных достаточно, чтобы оформить кредит на человека.
«Это равносильно тому чтобы Приватбанк выдавал ссылки по которым каждый мог заходить в ваш Приват24»,- считает он.
В свою очередь IT-директор iGov Владимир Белявцев убежден, что проблема раздута.
«Получить сессию может только тот, кому пользователь сам перешлет ссылку. Сама ссылка появляется в адресной строке на несколько секунд, а затем исчезает. Это равноценно тому, чтобы отправлять кому-то ссылку на восстановление пароля в аккаунте. Кроме того, ссылка прекращает действие по истечению сессии — а она длится сутки», - рассказал он, передает AIN.ua.
По его словам, сразу после получения первых сообщений, команда проекта начала работу над вопросом. Решение будет готово в ближайшее время: идентификатор сессии будет передаваться иначе.
Читайте также:
- Украинские разработчики создали сервис «Джура», способный заменить российские аналоги («ДМБ таймер», «Счетчик ДМБ», «ДМБ дневник», «Дембель неизбежен») для наших солдат.
- В феврале КГГА презентовала бесплатный мессенджер DAH online, который был разработан для столичных домовых громад. Он позволяет оперативно получать актуальную информацию, выбирать подрядчика, контролировать финансы и должников.
- В марте сообщалось, что в Google разработали приложение о Большом взрыве Big Bang AR, которое в дополненной реальности иллюстрирует формирование Вселенной. Видео озвучила британская актриса Тильда Суинтон.
У самурая нет цели, есть только путь. Мы боремся за объективную информацию.
Поддержите? Кнопки под статьей.