Хакеры разместили на продажу данные 48 миллионов сертификатов о вакцинации; «Медиазона» сообщала властям об уязвимости полгода назад
Хакеры разместили на продажу данные 48 миллионов сертификатов о вакцинации; «Медиазона» сообщала властям об уязвимости полгода назад
Данное издание существует на пожертвования читателей — только благодаря вам мы можем продолжать свою работу. Из-за вторжения в Украину и(или) санкций их стало гораздо меньше, поэтому мы пишем капслоком: если можете, поддержите «МЕДИАЗОНУ». Нет войне.
Оформите регулярное пожертвование Медиазоне!Поддержать
25 января 2022, 22:34

База QR-кодов вакцинированных россиян из приложения «Госуслуги СТОП Коронавирус» появилась на одном из форумов в даркнете. Об этом сообщает телеграм-канал «Утечки информации».

В образце данных, говорится в сообщении, 10 тысяч строк.

В таблице есть первые буквы фамилии, имени и отчества привитого на русском и английском языках, дата рождения, УНРЗ, первые две цифры серии и последние три цифры номера паспорта, название вакцины на английском и русском языках, а также QR-код в формате PNG и срок его действия.

Продавец утверждает, что в базе 48 миллионов строк, стоимость таблицы — 100 тысяч долларов.

Как отмечают авторы телеграм-канала, «выборочная поверка» показала, что QR-коды из базы действуют, ведут на «Госуслуги» и совпадают с кодом с официальной страницы проверки QR-кодов.

«Медиазона» обнаружила уязвимость на сайте «Госуслуг», которая могла стать причиной утечки, еще полгода назад — в августе 2021 года.

Редакция заметила, что одна из старых ссылок для проверки действительности сертификатов о вакцинации позволяет раскрыть его данные без авторизации. Номер сертификата состоит из 16 цифр — 9, номера региона и номера УНРЗ, который формируется последовательно для каждого привитого.

Подставив в эту ссылку номер УНРЗ и подобрав номер региона, можно было получить информацию о каждом вакцинированном в России.

«Медиазона» сообщила о проблеме и подробно описала уязвимость «Ростелекому», а также направила информацию в пресс-службу Минцифры, но так и не получила ответа. Еще 15 декабря уязвимость не была устранена. Сейчас воспользоваться ей уже невозможно.

Как сообщили в пресс-службе Минцифры, ведомство уже начало проверку сообщения об утечке. Угрозы для безопасности личных данных пользователей приложения «Госуслуги СТОП коронавирус» нет, заверили в министерстве.

Обновлено в 22:53. Добавлен комментарий Минцифры.

Ещё 25 статей