UA RU
logo
23 Jan 2020

Ваш счет за коммунальные услуги мог скачать кто угодно. Что за утечка и какие данные под угрозой

На сайте ГИВЦ (Главного информационно-вычислительного центра) можно оплачивать коммунальные услуги онлайн через личный кабинет. Оказалось, это не совсем безопасно. Личные данные пользователей можно было легко посмотреть. Что случилось и чем это грозит, разбиралась редакция MC.today


Что случилось? 

Личные данные украинцев вновь утекли в сеть. Первым об этом сообщил на своей странице в Facebook представитель Украинского киберальянса Шон Таунсенд. 

На этот раз на сайте ГИВЦ можно было посмотреть все коммунальные счета киевлян по конкретному адресу. Для этого в URL-адресе https://www.gioc.kiev.ua/cabinet/login/obj_id:1034915 (адрес личного кабинета на сайте — прим. ред.) достаточно было поменять цифры после id. 

Узнать можно было ФИО плательщика, количество прописанных в квартире людей, ее площадь, наличие задолженности или субсидии, стоимость всех платежей по адресу. 

«Когда имеешь дело с КМДА — проще оторвать, чем замазать (о снимке платежки, на котором зарисовали адреса и личные данные, но QR-код оставили – прим. ред.). ГИВЦ слил все счета киевлян за коммуналку в открытый доступ. Можно полностью скачать базу платежек, просто перебирая obj_id», — написал Таунсенд.

Курс
Full Stack вечірній
Отримуйте завдання від фахівців, що практикують, і вчіться у вільний від роботи час
Реєструйтеся!

Проблему устранили достаточно быстро — уже в 20:14 люди в комментариях сообщили, что «лавочку прикрыли». Теперь, чтобы перейти по такой ссылке, нужно авторизоваться на сайте, и доступ будет открыт только к вашим данным.

Чем грозит утечка?

В свободном доступе оказались ФИО киевлян, их адреса, а также платежки за разные коммунальные услуги.

Само по себе право собственности — публичная информация, которую можно посмотреть в реестре Минюста. Такую информацию предоставляют идентифицированным физическим и юридическим лицам, и владелец имущества может проверить, кто именно делал запрос.

Директор компании по кибербезопасности Berezha Константин Корсун напомнил, что имя собственника недвижимости в реестре регулируется отдельным законодательством, а вот данные, касающиеся суммы и даты выплат, фамилия человека, на которого оформлен договор или задолженность, не разглашаются (ЗУ «О защите персональных данных» — прим. ред.).  

Согласно статье 32 Конституции Украины, адрес, место проживания, личные имущественные и неимущественные отношения человека в бытовой сфере — это личная информация. Поэтому даже вывески в подъездах с должниками и номерами их квартир – не совсем законное явление.

Вот какие угрозы могут быть: 

  • Данные могут использовать мошенники. Если у человека есть какая-либо задолженность, это видно по платежкам. Как и адрес с ФИО. Мошенники, обладая такими данными, могут притвориться коллекторами и шантажировать людей. Также люди с долгами могут привлечь внимание разных финансовых компаний, которые предлагают быстрый займ на невыгодных условиях. 
  • Информацию могут использовать для создания базы данных, которую могут применять в разных целях.
  • Если соседи вас недолюбливают, то спокойно могут поменять показания ваших счетчиков. Проблемы с коммунальными службами обеспечены. 

Где еще есть опасность утечки данных?

Сайты государственных и коммунальных предприятий иногда оставляют лазейки, которыми могут воспользоваться злоумышленники. 

Недавно мы писали об утечке личных данных людей, которые претендовали на вакансии госслужащих. Из-за отсутствия какой-либо защиты в открытом доступе оказались копии документов больше 50 тысяч человек. Тогда же в комментариях обсуждали, насколько этично писать о подобных уязвимостях в соцсетях.   

В комментариях к посту про коммунальные платежи упомянули и о других уязвимостях украинских сайтов. По словам Владимира Марущака, проблемы есть на сайте КП «Водоканал». 

«С “Киевводоканалом” связана аналогичная беда – https://kvk.meters.com.ua:7480/. Мало того, можно зайти по “левому” номеру договора (скажем, к шумному соседу) и передать некорректные данные счетчика воды, “обрадовав” пользователя суммой в квитанции», — написал Владимир. 

Лазейку нашли также на сайте Фонда государственного имущества Украины. Об этом рассказал бывший директор по информационным технологиям компании Ukrainian Retail Association Андрей Перевезий. 

По его словам, с помощью электронной почты можно зарегистрировать новый аккаунт и войти в систему. То есть каждый может получить доступ к техническим паспортам государственных зданий и некоторой другой непубличной информации. Он также сказал, что этот недочет можно использовать, чтобы распространить очередной компьютерный вирус.

Новости

Спецпроекты

Ваша жалоба отправлена модератору

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: