Юрист Адамс рассказал о рисках утечки данных россиян с «Госуслуг»
Портал «Госуслуги» сегодня является одним из ключевых сервисов в жизни россиян — через него записываются к врачу, оплачивают налоги и штрафы, оформляют документы и многое-многое другое. Однако, как и любая другая цифровая платформа, данная система не лишена уязвимостей, которые ставят под угрозу безопасность персональных данных граждан, говорит юрист Давид Адамс. О том, какие риски несут пользователи «Госуслуг» и как от них защититься, эксперт рассказал Общественной службе новостей.
По словам Адамса, прорехи в защите доступа к данным россиян в системе «Госуслуг» никак не связаны с тем, насколько осторожно или беспечно ведут себя пользователи. Проблемы коренятся в самой архитектуре платформы, утверждает он.
«Например, у портала до сих пор встречаются ошибки при проверке перенаправлений. Это значит, что внутри механизма входа можно построить ссылку на “Госуслуги”, которая потом переведет на другой сайт. Для пользователя это выглядит как нормальный адрес, но в реальности открывается чужой ресурс. Риск в том, что через такие переходы можно получить доступ к данным или ввести человека в заблуждение. Сейчас, по утверждению представителей платформы, уязвимость уже закрыта», — говорит собеседник издания.
Бывали и случаи, когда на поддоменах «Госуслуг» оставались открытые файлы, продолжает эксперт. Ссылки формировались по простому принципу, и достаточно было угадать или перебрать идентификатор, чтобы скачать документ. Данная уязвимость контроля доступа фактически никак не зависит от действий пользователя, а «живет» в коде, подчеркнул юрист. Такие дыры в защите закрывают, однако сам факт их существования говорит о том, что риск доступа к служебным данным — реальный, заметил он.
«Кроме того, утечки иногда происходят на уровне исходного кода. В открытом доступе оказывались репозитории с настройками и ключами, пусть и тестовыми. Даже такие материалы позволяют изучить внутреннюю логику работы системы и искать слабые места. Для крупных сервисов это серьезный сигнал, потому что знание архитектуры всегда облегчает работу злоумышленнику, — рассказывает Адамс. — Есть и ошибки в интерфейсах. На вспомогательных страницах иногда обнаруживались сбои, которые позволяли вставить чужой фрагмент кода. В этом случае браузер воспринимает его как часть сайта, и появляется риск, что данные окажутся под контролем посторонних. Кроме того, периодически фиксировались сбои в работе модулей авторизации и публикации документов: при перегрузке сервера или некорректных настройках можно было на короткое время получить доступ к данным, которые не предназначены для общего просмотра».
Уязвимостей у «Госуслуг» по итогу довольно мало, но они все же есть: перенаправления при входе, открытые ресурсы, утечки кода, сбои шлюзов и внедрение постороннего кода в интерфейсы, говорит собеседник издания. Поэтому важно помнить о способах защиты своих персональных данных, подчеркнул он.
«Хотя большинство проблем оперативно исправляется, для нас важно знать: платформа — это не раз и навсегда готовый продукт, а система, которую постоянно проверяют и дорабатывают. Чтобы обезопасить себя, стоит использовать вход только через официальное приложение или вручную введенный адрес gosuslugi.ru, регулярно выходить из лишних сессий, обновлять пароль и подключать дополнительные способы подтверждения входа. Эти простые шаги помогают свести к минимуму последствия любых технических сбоев, которые могут появиться в системе», — объяснил юрист.
Читайте также: