На сайтах для оплаты штрафов оказались доступны паспортные данные оштрафованных за нарушение самоизоляции в Москве   по номеру начисления, который можно подобрать перебором с помощью простого софта. На 10 мая  штрафов было выписано 35 тыс. В мэрии рекомендуют гражданам не выкладывать в интернет скриншоты штрафов и не передавать их номера третьим лицам.

По уникальному идентификатору начислений (УИН) штрафа за нарушение самоизоляции в Москве в сервисах их оплаты можно обнаружить персональные данные оштрафованного, в том числе фамилию, имя, отчество и паспортные данные, обратил внимание Telegram-канал «Нора Ежика». Корреспондент “Ъ” убедился в этом, введя УИН на одном из сервисов для оплаты штрафов. Информацию подтверждают и компании в сфере кибербезопасности.

Сайты для оплаты штрафов зачастую не имеют защиты от таких действий — ни ограничения числа запросов, ни даже «капчи» (тест, чтобы определить, является пользователь системы человеком или компьютером), отмечает основатель DeviceLock Ашот Оганесян. Хотя УИН состоит из 20 или 25 цифр, перебор его — простая задача, отмечает он.

Штрафы в размере 4 тыс. руб. выписываются жителям Москвы с диагнозом COVID-19, находящимся дома и нарушившим режим самоизоляции. За этим следит по геолокации приложение мэрии «Социальный мониторинг», уже вызвавшее критику в связи с тем, что, по мнению экспертов, передает данные в незашифрованном виде, а также якобы выписывает штрафы в отсутствие реальных нарушений. Всего на тот момент было выписано 35 тыс. штрафов, указывал начальник Главного контрольного управления Москвы Евгений Данчиков, называя возможность ошибок маловероятной (более свежих данных в мэрии не предоставили).

Номер УИН в постановлении о назначении штрафа предназначен только для лица, привлеченного к административной ответственности, подчеркивают в пресс-службе департамента информационных технологий (ДИТ) Москвы. Если гражданин передает третьим лицам или выкладывает в интернет скриншоты постановления с УИН штрафа, это не означает нарушения законодательства о персональных данных контролирующим органом, настаивают в ДИТ. Проверка же по УИН начислений, которой пользуются интернет-сервисы, идет через Государственную информационную систему о государственных и муниципальных платежах (ГИС ГМП), что находится вне деятельности ДИТ, добавили там. В Федеральном казначействе, которое ведет ГИС ГМП, комментарий не предоставили.

У ГИС ГМП есть проблемы и в выдаче информации по автомобильным штрафам, утверждает Алексей Дрозд. Несколько дней назад в «СерчИнформ» по результатам проверки автоштрафов обнаружили номер водительского удостоверения нарушителя, его фамилию, имя и отчество, номер свидетельства регистрации автомобиля и информацию о нарушении. На момент написания заметки такие данные в компании обнаружили лишь по нескольким УИН автоштрафов, а еще в нескольких она была недоступна. Это может быть связано с тем, что ошибку в системе начали исправлять, предполагает господин Дрозд.

Руководитель аналитического центра Zecurion Владимир Ульянов напоминает такая же лазейка ранее существовала и в сервисах банковских переводов: по номеру телефона можно было получить дополнительные данные об абонентах, чем пользовались мошенники. Банки теперь  закрывают часть фамилии звездочками.

Источник: Коммерсантъ