19 сентября 2024 года в «Ростелекоме» (разработчике информационной системы реестра электронных повесток) исключили утечку данных из Реестра электронных повесток, так как этот ресурс хорошо защищён, по заверению компании.
«Доступ к данным в реестре получают только граждане, использующие единую государственную информационную систему авторизации с обязательным дополнительным подтверждением в виде СМС-сообщения на телефонный номер», — пояснили в компании. «Ростелеком» обеспечивает высший уровень информационной безопасности системы и портала госуслуг, а также сохранность персональных данных, уточнили в пресс-службе организации.
Специалисты «Ростелекома» отвечают за безопасность портала «Госуслуги» и за работу ЕСИА (Единой системы идентификации и аутентификации). Войти в Реестр повесток для военнообязанных предлагается с помощью учётной записи на Госуслугах через ЕСИА. Она должна быть подтверждённой. Если учётной записи нет, то нужно её зарегистрировать.
В июле 2023 года вице-президент компании «Ростелеком» по информационной безопасности и гендиректор ГК «РТК-Солар» Игорь Ляпунов рассказал СМИ, что за последние 1,5 года не было ни одной успешной кибератаки на портал «Госуслуги». «»Госуслуги» являются колоссальным магнитом для хакеров. Это большой вызов. За эти 1,5 года ни одной успешной кибератаки и остановки наших государственных сервисов не было», – заявил Ляпунов. Он отметил, что опыт получения «самых передовых и мощных» кибератак закладывается в технологии по кибербезопасности, которые разрабатываются инженерами «Ростелекома» и «РТК-Солар».
Ранее Минцифры опровергли сообщения от исследователей, что можно получить персональные данные граждан через уязвимость на новом сайте реестра электронных повесток.
«Минцифры опровергает информацию об уязвимости на сайте реестра электронных повесток, якобы позволяющей получить персональные данные граждан. Данные пользователей портала Госуслуг надёжно защищены. На текущий момент подтверждений утечек или уязвимостей не зафиксировано. Возможности найти информацию о пользователях Госуслуг по ID-номеру нет», — говорится в заявление ведомства.
В Минцифры отметили, что для защиты используется многоэшелонированный подход — несколько дополняющих друг друга мер безопасности. По данным ведомства, авторизация через Госуслуги работает корректно на всех ресурсах.
18 сентября в России в тестовом режиме заработал сайт реестра электронных повесток для военнообязанных. В настоящее время проводится проверка Единого реестра воинского учёта в Рязанской области, Сахалинской области, Республике Марий Эл. С этого года электронные повестки приравнены к бумажным, их будут рассылать уже в текущий осенний призыв. За неявку призывникам запретят выезжать из страны.
Пользователь Хабра сообщил, что была обнаружена уязвимость, которая позволяет любому авторизованному пользователю посмотреть все личные данные призывников. После авторизации можно отправить API-запрос, содержащий ID юзера на Госуслугах и получить всю информацию, включая ФИО, дату рождения, прописку, ИИН, СНИЛС, данные водительского удостоверения, паспорта и других документов. В настоящее время эксперты не могут повторить это действия. Непонятно, была ли такая уязвимость изначально в системе или её оперативно исправили.
Источник: habr.com