Сайт единого реестра электронных повесток для военнообязанных граждан России позволяет украсть личные данные любого россиянина, зарегистрированного на портале "Госуслуги", сообщает "Новая газета Европа".
Как установило издание, для доступа к информации достаточно знать ID-идентификатор пользователя на "Госуслугах", после чего через реестр повесток можно получить его полное имя, дату рождения, адрес регистрации, данные внутреннего и заграничного паспортов, водительского удостоверения, медстраховки, ИНН и СНИЛС.
"Сервис повесток не проверяет, запрашивает ли пользователь данные о себе или о другом человеке - из-за чего и возникает уязвимость", – пояснил журналистам на условиях анонимности эксперт по кибербезопасности.
Телеграм-канал "ЧТД" в свою очередь отмечает, что реестр повесток просит от пользователей установить сертификат для слежки за трафиком. "Речь идёт о сертификате Минцифры, который якобы необходим для безопасного соединения с сайтом, однако с его помощью могут отслеживать трафик россиян в браузере и мессенджерах", - пишет издание.
В Минцифры и госкорпорации "Ростелеком", которая разрабатывала систему, в свою очередь отрицают наличие уязвимости и рассказывают о "многоэшелонированной защите".
- Сайт единого реестра электронных повесток для военнообязанных россиян заработал в тестовом режиме накануне. С ноября в нём будут размещаться повестки в армию. Через сайт обладатели подтверждённых учётных записей на "Госуслугах" смогут получить о себе сведения, касающиеся призыва. Повестка будет считаться вручённой через 7 дней после её размещения в электронном реестре. Военкомам теперь не нужно получать собственноручную подпись призывника о том, что он знает о решении призывной комиссии, как это было раньше. Уклонистам при этом будут запрещать выезд из России, управление автомобилем, регистрацию недвижимости и бизнеса, а также получение кредитов.