Согласно информации агентства «Интерфакс», представитель столичного департамента информационных технологий рассказал, что новая форма веб-приложения по оформлению цифровых пропусков за несколько часов своей работы подверглась хакерским атакам. В этой форме можно проверить актуальность пропуска и скорректировать данные, например, поменять или добавить номер автомобиля, а также внести информацию о картах «Тройка», «Стрелка», данные по проездному билету или социальной карте.
«Пока еще не очень много хакерских атак, хотя уже попытки были и были пресечены сразу же. Но, я думаю, что постепенно будут как-то повышать нагрузку на нас, но мы к ней готовы», — заявил в эфире телеканала «Россия 24» (ВГТРК) Эдуард Лысенко, глава ДИТ Москвы.
Специальная веб-форма, в которой можно внести изменения в данные цифрового пропуска или исправить ошибки, если они были допущены при оформлении, появилась на портале nedoma.mos.ru утром в субботу 18 апреля 2020 года.
У этой формы очень полезный функционал — узнать актуальность полученного ранее электронного пропуска. Так как очень большая часть пропусков ранее была аннулирована из-за неправильно введенных данных. Ранее 14 апреля 2020 года cервисом по выдаче электронных пропусков на портале nedoma.mos.ru воспользовались более 3,2 млн пользователей, однако 900 тысяч пропусков позже были аннулированы из-за недостоверных сведений. В том числе часть этих аннулированных пропусков были отправлены для регистрации пользователями по SMS. Но тогда пользователи не могли своевременно проверить, что их пропуска в порядке или с ними проблемы. Теперь же все стало проще с получением этих данных.
Вдобавок стало известно, что, например, на 18 апреля 2020 года в Москве аннулировали 554 пропуска больных COVID-19 и проживающих с ними. Таким образом, эти пользователи сервиса nedoma.mos.ru также могут проверить свои пропуска в новой форме и удостоверится, что они теперь не работают.
Как защищен новый веб-сервис по проверке и редактированию данных для цифровых пропусков по Москве от злоумышленников? В сервисе используется reCAPTCHA и подтверждение изменений в пропуске по SMS.
При входа в сервис необходимо ввести 16-значный код электронного пропуска и пройти reCAPTCHA. Эти коды можно найти в соцсетях и в сети интернет на фотографиях пользователей, которые их выкладывали на общее обозрение, не задумываясь о последствиях. Можно попробовать сгенерировать часть 16-значных кодов, но это будет долгий процесс, хотя первая часть этих кодов в некоторых случаях стандартная — например, 3004 или 3KEP.
Далее появляется информацию о данных по электронному пропуску. Причем ее видят все пользователи, которые даже не зарегистрированы на портале mos.ru. Так как часть данных по пропуску все равно в этой форме скрыто или заменено на символ «X», то проверить или узнать их полный объем для злоумышленника будет проблематично.
Если нажать кнопку «Изменить данные пропуска», то появится страничка, где можно выбрать категорию изменения данных — поменять номер автомобиля, поменять или внести данные по картам пользователя. Можно сразу все данные скорректировать.
Однако, если внести в этот пропуск новые данные, то просто так их сохранить не удасться. Так на на мобильный телефон пользователя будет отправлено SMS-сообщение с пятизначным кодом, который нужно ввести, чтобы подтвердить новые данные. Технически, это единственное место в этой веб-форме, где можно путем подбора кода из сообщения скомпрометировать и испортить электронный пропуск, так как пока что можно вводить несколько кодов подряд без блокировки. Но для этого нужно перебрать 99999 комбинаций, пока пользователь не обратил внимание, что ему пришло SMS с портала mos.ru и не начал разбираться с этим непонятным событием.
После изменения этих данных в пропуске новая сохраненная злоумышленником информация в течение 5 часов должна поступить в систему контроля от ДИТ (требуется не менее чем за 5 часов до начала первой поездки по этому пропуску) и только тогда именно она будет использоваться для пропуска или блокировки пользователя или даже вынесения штрафа в его сторону, так как с 22 апреля 2020 года в Москве все машины, не включенные в цифровые пропуска, будут автоматически считаться нарушителями, а их владельцы будут штрафоваться.
Ранее 13 апреля 2020 года в начале запуска сервиса по выдаче электронных пропусков произошел сбой в этой системе несмотря на то, что столичный Департамент информационных технологий говорил о полной готовности к любым нагрузкам. В итоге чиновники заявили о «беспрецедентной по продолжительности и интенсивности» атаке ботов, в том числе зарубежных, с которой, однако, к концу пикового периода «удалось справиться».
Комментариев нет:
Отправить комментарий