В Днепре запустили «Кабинет жителя». В нем нашли угрозу персональным данным

15 августа в Днепре запустили электронный «Кабинет жителя». Это единый интерфейс для всех оцифрованных госуслуг, который работает на базе iGov, пишут AIN.UA

Через «Кабинет» можно оформить субсидию, занять очередь в детский сад, зарегистрировать предпринимательскую деятельность и так далее, сообщает сайт горсовета.

Вскоре о сайте заговорили в другом ключе. Как рассказал на Facebook предприниматель Андрей Хорсев, у портала проблемы с безопасностью — если получить персонализированную ссылку пользователя, можно узнать его персональную информацию.

В Днепре запустили «Кабинет жителя». В нем нашли угрозу персональным данным
Электронный кабинет, источник — сайт Днепровского горсовета

Как это работает и чем опасно

  1. На сайте «Кабинета» подключена безопасная авторизация через BankID или ЭЦП.
  2. Но услуги указываются на сайте iGov, куда пользователя отправляют после авторизации.
  3. Для подтверждения, iGov опирается на уникальную ссылку, в которую внесен идентификатор сессии. Ссылку можно получить из истории посещений браузера или адресной строки, нажав «Назад» при первом редиректе на iGov.

Персонализированная ссылка позволяет любому, кто ее получит, узнать следующее:

  • ФИО;
  • паспортные данные;
  • ИНН;
  • номер телефона.

Как рассказывает Хорсев, этих данных достаточно, чтобы оформить кредит на человека.

Это равносильно тому чтобы «ПриватБанк» выдавал ссылки по которым каждый мог заходить в ваш Privat24.

Позиция iGov

IT-директор iGov Владимир Белявцев считает, что проблема раздута. Он рассказал AIN.UA, что вина за утечку данных в таком случае может лежать только на пользователе:

Получить сессию может только тот, кому пользователь сам перешлет ссылку. Сама ссылка появляется в адресной строке на несколько секунд, а затем исчезает.

Это равноценно тому, чтобы отправлять кому-то ссылку на восстановление пароля в аккаунте. Кроме того, ссылка прекращает действие по истечению сессии — а она длится сутки.

По его словам, сразу после получения первых сообщений, команда проекта начала работу над вопросом. Решение будет готово в ближайшее время:

Вскоре идентификатор сессии будет передаваться иначе. Думаю, сегодня работу над этим уже завершат.

Мнение эксперта

С тем, что нынешний вариант полностью безопасен, не соглашается Егор Папышев, offensive security researcher:

Нынешний вариант, скажем так, не вполне соответствует лучшим практикам по кибербезопасности.

Нужно совсем убрать сессию из GET-параметра и передавать ее в cookie, добавить CSRF-токен. Сам сессионный токен должен быть достаточно большим и случайным.

Еще необходимо реализовать ACL при которой нельзя будет результативно осуществить брутфорс, лимитировать обращения к критичным API. Трафик, естественно, должен быть защищен TLS. Это минимальный набор необходимых мер.


Михаил Сапитон, AIN

Коды для вставки в блог\форум

blog comments powered by Disqus


Вспомним другие новости из этого раздела?


Internet и сети

←+Ctrl+→

Интересные новости
Владелец WordPress покупает Tumblr за $3 млн. Шесть лет назад платформу оценивали в $1,1 млрдВладелец WordPress покупает Tumblr за $3 млн. Шесть лет назад платформу оценивали в $1,1 млрд
СБУ устранила последствия кибератаки на Черноморской ТРКСБУ устранила последствия кибератаки на Черноморской ТРК
Google рассказал, какие уроки вынес из последних сбоев в индексированииGoogle рассказал, какие уроки вынес из последних сбоев в индексировании
В Днепре запустили «Кабинет жителя». В нем нашли угрозу персональным даннымВ Днепре запустили «Кабинет жителя». В нем нашли угрозу персональным данным
Работники Google требуют отказа компании от сотрудничества с пограничными службами СШАРаботники Google требуют отказа компании от сотрудничества с пограничными службами США
Блок рекламы


Похожие новости

Google откроет доступ к данным Search Console для других платформGoogle откроет доступ к данным Search Console для других платформ
В Google Maps нашли миллионы фальшивых местВ Google Maps нашли миллионы фальшивых мест
В Украине заработала система обмена данными между госреестрами «Трембита». Ее готовили с 2017-го
В сети нашли данные 540 млн пользователей Facebook. Информация была в открытом доступе
В Украине запустили детский YouTube с родительским контролемВ Украине запустили детский YouTube с родительским контролем
Google и индустрию онлайн-рекламы обвинили в злоупотреблении интимными данными пользователейGoogle и индустрию онлайн-рекламы обвинили в злоупотреблении интимными данными пользователей
Facebook начал запуск панели с данными о времени, проведённом в соцсетиFacebook начал запуск панели с данными о времени, проведённом в соцсети
В Украине запустили YouTube Music и YouTube PremiumВ Украине запустили YouTube Music и YouTube Premium
Google открыл пользователям доступ к данным в блокчейне EthereumGoogle открыл пользователям доступ к данным в блокчейне Ethereum
Хакеры нашли способ остановить сердцеХакеры нашли способ остановить сердце
Последние новости

Подгружаем последние новости