↩️🖼 Через уязвимость в новом сайте электронных повесток можно получить персонал...

ASTRA: Через уязвимость в новом сайте электронных повесток можно получить персональные данные любого россиянина, утверждает «Новая газета Европа»На сайте реестрповесток.рф обнаружена огромная уязвимость, которая позволяет получить через этот сайт данные любого зарегистрированного на «Госуслугах» россиянина. В том числе женщин. Для доступа к данным нужно знать уникальный ID пользователя на «Госуслугах» и сделать соответствующий запрос на сервер реестра повесток. В ответ сайт выдаст ФИО, дату рождения, номера паспорта, СНИЛС, ИНН и другие персональные данные россиянина. Об уязвимости реестра повесток вчера вечером рассказало издание «Новая газета Европа» со ссылкой на анонимного IT-эксперта. Ночью в Минцифры и «Ростелекоме» заявили об отсутствии уязвимостей на сайте.Сайт Единого реестра повесток заработал вчера в трех регионах России — Марий Эл, Сахалинской и Рязанской областях. Пока сайт функционирует в тестовом режиме — полноценно он должен заработать с 1 ноября.Реестрповесток.рф навязчиво предлагает пользователям установить отечественный SSL-сертификат безопасности от Минцифры. Такие сертификаты шифруют соединение с сайтами (со стороны пользователя это выглядит вот так: «http» в ссылке заменяется на «https» – где «s» обозначает «secure» или безопасное соединение). Большая часть трафика в интернете шифруется с помощью https – именно в таком виде его хранят российские провайдеры по требованию ФСБ. Могут ли российские спецслужбы эффективно расшифровывать такой трафик – доподлинно неизвестно. Реестр повесток утверждает, что «обеспечить защищенное соединение» с ним можно только при помощи отечественного сертификата – но это откровенная манипуляция. Сайт уже защищен международным сертификатом от бельгийской компании GlobalSign. Сертификат безопасности Минцифры предположительно имеет бэкдор, который позволит российским спецслужбам расшифровывать трафик. Не только с сайта электронных повесток, но и с других ресурсов. Об этом заявил анонимный эксперт организации «Роскомсвобода» в разговоре с изданием «Верстка». «В случае добавление сертификата Минцифры в мобильных операционных системах возможно “прослушивание” трафика не только браузеров, но и тех мессенджеров, которые не озаботились защитой от подобного», – заявил IT-эксперт.

Сентябрь 19, 2024 - 15:08
 0  4
↩️🖼 Через уязвимость в новом сайте электронных повесток можно получить персонал...

Через уязвимость в новом сайте электронных повесток можно получить персональные данные любого россиянина, утверждает «Новая газета Европа»

На сайте реестрповесток.рф обнаружена огромная уязвимость, которая позволяет получить через этот сайт данные любого зарегистрированного на «Госуслугах» россиянина. В том числе женщин. Для доступа к данным нужно знать уникальный ID пользователя на «Госуслугах» и сделать соответствующий запрос на сервер реестра повесток. В ответ сайт выдаст ФИО, дату рождения, номера паспорта, СНИЛС, ИНН и другие персональные данные россиянина.

Об уязвимости реестра повесток вчера вечером рассказало издание «Новая газета Европа» со ссылкой на анонимного IT-эксперта. Ночью в Минцифры и «Ростелекоме» заявили об отсутствии уязвимостей на сайте.

Сайт Единого реестра повесток заработал вчера в трех регионах России — Марий Эл, Сахалинской и Рязанской областях. Пока сайт функционирует в тестовом режиме — полноценно он должен заработать с 1 ноября.

Реестрповесток.рф навязчиво предлагает пользователям установить отечественный SSL-сертификат безопасности от Минцифры. Такие сертификаты шифруют соединение с сайтами (со стороны пользователя это выглядит вот так: «http» в ссылке заменяется на «https» – где «s» обозначает «secure» или безопасное соединение). Большая часть трафика в интернете шифруется с помощью https – именно в таком виде его хранят российские провайдеры по требованию ФСБ. Могут ли российские спецслужбы эффективно расшифровывать такой трафик – доподлинно неизвестно.

Реестр повесток утверждает, что «обеспечить защищенное соединение» с ним можно только при помощи отечественного сертификата – но это откровенная манипуляция. Сайт уже защищен международным сертификатом от бельгийской компании GlobalSign.

Сертификат безопасности Минцифры предположительно имеет бэкдор, который позволит российским спецслужбам расшифровывать трафик. Не только с сайта электронных повесток, но и с других ресурсов. Об этом заявил анонимный эксперт организации «Роскомсвобода» в разговоре с изданием «Верстка». «В случае добавление сертификата Минцифры в мобильных операционных системах возможно “прослушивание” трафика не только браузеров, но и тех мессенджеров, которые не озаботились защитой от подобного», – заявил IT-эксперт.

Какова ваша реакция?

like

dislike

love

funny

angry

sad

wow