Пользователи «Единого портала государственных и муниципальных услуг» (сайт госуслуг) могут массово пострадать от хакеров и мошенников из-за уязвимости, которая была обнаружена на сайте, сообщил корреспонденту ForPost специалист по кибербезопасности, программист Сергей Вакулин.
Напомним, дистанционное электронное голосование (ДЭГ) на выборах 19 сентября пройдёт в семи регионах. Всем онлайн-избирателям для участия в электронном голосовании также необходимо иметь подтверждённую учётную запись на госуслугах, а кроме того — регистрацию по месту жительства на территории одного из регионов, отобранных ЦИК для участия в ДЭГ.
Избиратель подаёт одно заявление для участия во всех выборах, на которые он имеет право. В нём указываются фамилия, имя, отчество, дата рождения, адрес места жительства (в соответствии с паспортом), серия и номер самого паспорта, номер мобильного телефона (при наличии), дата и время подачи заявления.
В ЦИК заверили: все персональные данные надёжно защищены, сообщает «Парламентская газета».
Однако, как оказалось, в защите портала госуслуг оказалась дыра.
«На сайте госуслуг была найдена самая распространённая уязвимость, которая известна абсолютно всем. Речь идёт о внедрении вредоносного кода в тело страницы. Он позволяет совершать определённые действия без ведома пользователя за счёт того, что отправляется запрос в браузер, который его обрабатывает», — пояснил Вакулин.
Читайте по теме: Не дом и не улица: из паспортов россиян исчезнут штампы о прописке
Опасность этой уязвимости заключается в том, что злоумышленник может перехватить куки (cookie — небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере пользователя).
Если хакер завладеет этими cookie, он может получить доступ к персональным данным пользователя сайта госуслуги: куки созданы для того, чтобы пользователь не вводил регулярно пароль.
«Если злоумышленники захватили cookie, а пользователь сайта госуслуг не сменил пароль или не вышел из личного кабинета, то у них есть шанс завладеть персональными данными пользователя сайта, не зная логина и пароля. От имени пользователя они могут совершать различные операции. На Госуслугах эта уязвимость есть», — уточнил специалист по кибербезопасности.
В конце июля РБК сообщил о том, что преступники начали получать доступ к личным кабинетам на госуслугах, менять там номера и адреса электронной почты и брать от имени зарегистрированных граждан кредиты. Эксперты предупреждают: единственная защита — это бдительность.
Читайте также: Порносайты в России хотят легализовать через госуслуги
Роберт Вочовский
Обсуждение (16)