В Минцифры опровергли сообщения от исследователей, что можно получить персональные данные граждан через уязвимость на новом сайте реестра электронных повесток.
«Минцифры опровергает информацию об уязвимости на сайте реестра электронных повесток, якобы позволяющей получить персональные данные граждан. Данные пользователей портала Госуслуг надёжно защищены. На текущий момент подтверждений утечек или уязвимостей не зафиксировано. Возможности найти информацию о пользователях Госуслуг по ID-номеру нет», — говорится в заявление ведомства.
В Минцифры отметили, что для защиты используется многоэшелонированный подход — несколько дополняющих друг друга мер безопасности. По данным ведомства, авторизация через Госуслуги работает корректно на всех ресурсах.
18 сентября в России в тестовом режиме заработал сайт реестра электронных повесток для военнообязанных. В настоящее время проводится проверка Единого реестра воинского учёта в Рязанской области, Сахалинской области, Республике Марий Эл. С этого года электронные повестки приравнены к бумажным, их будут рассылать уже в текущий осенний призыв. За неявку призывникам запретят выезжать из страны.
Пользователь Хабра @youngmyn сообщил, что была обнаружена уязвимость, которая позволяет любому авторизованному пользователю посмотреть все личные данные призывников. После авторизации можно отправить API-запрос, содержащий ID юзера на Госуслугах и получить всю информацию, включая ФИО, дату рождения, прописку, ИИН, СНИЛС, данные водительского удостоверения, паспорта и других документов. В настоящее время эта уязвимость устранена.
Источник: habr.com