logo
23 Янв 2020
2608

Ваш счет за коммунальные услуги мог скачать кто угодно. Что за утечка и какие данные под угрозой

На сайте ГИВЦ (Главного информационно-вычислительного центра) можно оплачивать коммунальные услуги онлайн через личный кабинет. Оказалось, это не совсем безопасно. Личные данные пользователей можно было легко посмотреть. Что случилось и чем это грозит, разбиралась редакция MC.today


Что случилось? 

Личные данные украинцев вновь утекли в сеть. Первым об этом сообщил на своей странице в Facebook представитель Украинского киберальянса Шон Таунсенд. 

На этот раз на сайте ГИВЦ можно было посмотреть все коммунальные счета киевлян по конкретному адресу. Для этого в URL-адресе https://www.gioc.kiev.ua/cabinet/login/obj_id:1034915 (адрес личного кабинета на сайте — прим. ред.) достаточно было поменять цифры после id. 

Узнать можно было ФИО плательщика, количество прописанных в квартире людей, ее площадь, наличие задолженности или субсидии, стоимость всех платежей по адресу. 

«Когда имеешь дело с КМДА — проще оторвать, чем замазать (о снимке платежки, на котором зарисовали адреса и личные данные, но QR-код оставили – прим. ред.). ГИВЦ слил все счета киевлян за коммуналку в открытый доступ. Можно полностью скачать базу платежек, просто перебирая obj_id», — написал Таунсенд.

Проблему устранили достаточно быстро — уже в 20:14 люди в комментариях сообщили, что «лавочку прикрыли». Теперь, чтобы перейти по такой ссылке, нужно авторизоваться на сайте, и доступ будет открыт только к вашим данным.

Чем грозит утечка?

В свободном доступе оказались ФИО киевлян, их адреса, а также платежки за разные коммунальные услуги.

Само по себе право собственности — публичная информация, которую можно посмотреть в реестре Минюста. Такую информацию предоставляют идентифицированным физическим и юридическим лицам, и владелец имущества может проверить, кто именно делал запрос.

Директор компании по кибербезопасности Berezha Константин Корсун напомнил, что имя собственника недвижимости в реестре регулируется отдельным законодательством, а вот данные, касающиеся суммы и даты выплат, фамилия человека, на которого оформлен договор или задолженность, не разглашаются (ЗУ «О защите персональных данных» — прим. ред.).  

Согласно статье 32 Конституции Украины, адрес, место проживания, личные имущественные и неимущественные отношения человека в бытовой сфере — это личная информация. Поэтому даже вывески в подъездах с должниками и номерами их квартир – не совсем законное явление.

Вот какие угрозы могут быть: 

  • Данные могут использовать мошенники. Если у человека есть какая-либо задолженность, это видно по платежкам. Как и адрес с ФИО. Мошенники, обладая такими данными, могут притвориться коллекторами и шантажировать людей. Также люди с долгами могут привлечь внимание разных финансовых компаний, которые предлагают быстрый займ на невыгодных условиях. 
  • Информацию могут использовать для создания базы данных, которую могут применять в разных целях.
  • Если соседи вас недолюбливают, то спокойно могут поменять показания ваших счетчиков. Проблемы с коммунальными службами обеспечены. 

Где еще есть опасность утечки данных?

Сайты государственных и коммунальных предприятий иногда оставляют лазейки, которыми могут воспользоваться злоумышленники. 

Недавно мы писали об утечке личных данных людей, которые претендовали на вакансии госслужащих. Из-за отсутствия какой-либо защиты в открытом доступе оказались копии документов больше 50 тысяч человек. Тогда же в комментариях обсуждали, насколько этично писать о подобных уязвимостях в соцсетях.   

В комментариях к посту про коммунальные платежи упомянули и о других уязвимостях украинских сайтов. По словам Владимира Марущака, проблемы есть на сайте КП «Водоканал». 

«С “Киевводоканалом” связана аналогичная беда – http://kvk.meters.com.ua:7480/. Мало того, можно зайти по “левому” номеру договора (скажем, к шумному соседу) и передать некорректные данные счетчика воды, “обрадовав” пользователя суммой в квитанции», — написал Владимир. 

Лазейку нашли также на сайте Фонда государственного имущества Украины. Об этом рассказал бывший директор по информационным технологиям компании Ukrainian Retail Association Андрей Перевезий. 

По его словам, с помощью электронной почты можно зарегистрировать новый аккаунт и войти в систему. То есть каждый может получить доступ к техническим паспортам государственных зданий и некоторой другой непубличной информации. Он также сказал, что этот недочет можно использовать, чтобы распространить очередной компьютерный вирус.

Этот материал – не редакционный, это – личное мнение его автора. Редакция может не разделять это мнение.


Лучшее, что мы можем сделать для себя в этом сумасшедшем, постоянно меняющемся мире, — продолжать учиться.

Редакция MC.today рекомендует курс по онлайн-маркетингу от Эльдара Нагорного – мы сами его прошли.

Знать, как продвигать свое дело в интернете, полезно абсолютно всем. Зарегистрироваться можно здесь.

Топ-10 книг, которые стоит прочесть:

История о предпринимателе, который в 20 лет продал бизнес с оценкой в $100 тыс, а в 2017 году стал одним из сооснователей monobank. Книгу написал Тимур Ворона, главный редактор MC.today. Заказать

Продолжение бестселлера от предпринимателя и блогера Евгения Черняка. Он расскажет истории семи успешных женщин: Леры Бородиной, Ольги Гуцал и других. Заказать.

Можно ли избежать ядерной войны? Какая цивилизация доминирует на планете? Как спастись от лжи в новостях? Узнайте ответы на эти вопросы в продолжении бестселлеров от Юваля Ноя Харари. Заказать.

Сейчас стриминговые сервисы побеждают кинотеатры – но 10 лет назад все было иначе. Основатель Netflix Марк Рендольф рассказал, как родилась идея компании и почему она понравилась инвесторам. Заказать.

Мемуары бывшей первой леди США – и первой афроамериканки в этой роли. Вместе с мужем Мишель Обама создала образ самой гостеприимной семьи президента. Заказать.

Вы совсем погрузились в карьеру и забыли про семью? Эта книга поможет вернуть доверие в ваш дом и понять, что успех зависит и от ваших близких. Заказать.

Владелец Zara Амансио Ортега признавали богатейшим человеком несколько раз. Узнайте, как устроен мир моды и почему на одежде можно хорошо заработать. Заказать.

Исполнители в тайне мечтают руководить другими. Но на этом пути их ждут ошибки, которые могут стоить карьеры. В книге вы получите советы, как ладить с руководителями и стать одним из них. Заказать.

Кажется, что создавать видеоигры весело и просто. Но вы разубедитесь, когда откроете книгу и прочитаете ее. Ведь каждая игра – это труд сотен людей. Заказать.

Многие мечтают просыпаться пораньше – но на деле валяются в кровати часами. Откажитесь от соблазна, и у вас появится пропуск в «элитный клуб» олимпийцев и предпринимателей. Заказать.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Вдохновляющие компании

«Бітрікс24»

Мы – №1 на украинском рынке CRM-систем. Как нам удалось построить команду, в которой комфортно работать.

«Битрикс24»
ABM Cloud

Наша корпоративная культура – о лидерстве и счастье. Только проактивные, увлеченные и горящие своим делом люди могут создавать инновационные решения

1 вакансия
ABM Cloud

Выбор редактора

Спецпроект

HR – это не только про найм. 8 функций менеджера по персоналу от Work Around

Spelling error report

The following text will be sent to our editors: