23 марта 2021, 20:31
Многие только после фильма Навального и статьи Insider начали осознавать, насколько развит в России рынок услуг теневого "пробива", и насколько это доступное удовольствие даже для среднестатистического гражданина. Но давайте подумаем, что опаснее?
В последнее время спецслужбы развернули настоящую охоту за, так называемыми, пробивщиками - сотрудниками правоохранительных органов, которые для журналистов и заинтересованных лиц способны достать из закрытых баз персональную информацию о человеке. Однако, как оказалось, стараниями Департамента информационных технологий (ДИТ) правительства Москвы пробивщики теперь уходят в прошлое. Много нужных и закрытых сведений о человеке злоумышленники отныне могут узнать из приложения «Парковки Москвы», которое ИТБ, они же ООО «Программный продукт», разработало по заказу ДИТ. Выяснилось, что любой желающий может в приложение ввести номера чужой машины и узнать почти все о ее владельце: номера других авто, маршруты и места перемещения, оплаченные и не оплаченные штрафы, фото машины и т. п. И становится непонятно, что опаснее: преступники, которые подпольно ведут свою деятельность по продаже данных, или чиновники из ДИТ с многомиллионными госзаказами, которые не в состоянии обеспечить безопасность своих информационных продуктов на элементарном уровне.
Преступники, которые подпольно ведут свою деятельность по продаже данных, или крупнейшие IT гиганты с многомиллионными госзаказами, которые не в состоянии обеспечить безопасность своих информационных продуктов на элементарном уровне?
И если небольшим компаниям с мизерным пользовательским охватом это может быть простительно, то вот пример, заставляющий взглянуть на данную проблему куда серьезнее.
Возьмем очень популярное у большинства москвичей приложение: «Парковки Москвы».
Приложение разработано ИТБ, они же ООО «Программный продукт», по заказу ДИТ города Москвы (источник)
Что же представляет из себя приложение, установленное у доброй половины москвичей и какова конфиденциальность работы данного софта, созданного для департамента информационных технологий города с населением в 15 миллионов (!) человек?
Сначала нас просят ввести свой номер телефона, далее необходимо добавить свой номер авто и номер СТС (по желанию). И вроде бы все в порядке, но предположим, что злоумышленник, преследуя некие цели, решил ввести туда не свои, а ваши данные. Он, не зная номера авто, ставит ползунок на «иностранный/специальный номер», вписывает номер вашего СТС, а вместо самого номера авто пишет любое слово (забавно, что проходит даже написанное кириллицей слово «проверка»).
Далее злоумышленник идет во вкладку «штрафы и эвакуации». И нажимает во вкладке «Штрафы» на ссылку «Обновить». Ничего не произошло и штрафов нет? Ничего страшного, есть кнопочка «Показать оплаченные и аннулированные», туда и нажимаем.
Кто из нас хоть раз в жизни не попадал в поле зрения вездесущих московских дорожных видеокамер? Правильно, все попадали.
И не всем нравится понимать, что твои персональные данные распространяются буквально бесконтрольно и доступны для любого желающего. Например номера авто, маршруты и места перемещения и т. п. Но, как говорится, хочешь удобства и парковаться? Плати. При чем не только деньгами, а и приватной информацией, которая может быть доступна буквально кому угодно.
Мы нажали на кнопку и увидели, что ранее у данного человека был штраф. Но далее, если нажать на этот штраф (пусть он и ранее давно оплачен), нас ждет информационный сюрприз:
Поздравляем: либо мы сейчас познали хакерский трюк, либо данное приложение соответствует уровню ПО магазина хозтоваров из деревни в провинции любой развитой страны.
Так или иначе, у нас появился доступ к персональным данным граждан через официальное приложение.
В дополнение к вышесказанному давайте изучим, какие персональные данные запрашивает и сохраняет приложение, задачей которого является всего лишь оплата и резервирование парковки и отображение штрафов:
Не правда ли, многовато информации для приложения, которое можно обмануть при верификации простыми кириллическими символами вместо номера?
Вы еще думаете, что для получения информации о гражданах РФ нужна помощь ЦРУ/МИ-6/МОССАД и других спецслужб? Пока тендеры достаются таким разработчикам, как ИТБ, нам не нужны другие враги.
Теперь давайте разберемся с причинно-следственной связью.
Почему страна, выходцы из которой считаются самыми талантливыми в сфере IT, не может обеспечить базовую защиту персональных данных в государственных приложениях?