Ваш счет за коммунальные услуги мог скачать кто угодно. Что за утечка и какие данные под угрозой

На сайте ГИВЦ (Главного информационно-вычислительного центра) можно оплачивать коммунальные услуги онлайн через личный кабинет. Оказалось, это не совсем безопасно. Личные данные пользователей можно было легко посмотреть. Что случилось и чем это грозит, разбиралась редакция MC.today. 

Что случилось? 

Личные данные украинцев вновь утекли в сеть. Первым об этом сообщил на своей странице в Facebook представитель Украинского киберальянса Шон Таунсенд. 

На этот раз на сайте ГИВЦ можно было посмотреть все коммунальные счета киевлян по конкретному адресу. Для этого в URL-адресе https://www.gioc.kiev.ua/cabinet/login/obj_id:1034915 (адрес личного кабинета на сайте — прим. ред.) достаточно было поменять цифры после id. 

Узнать можно было ФИО плательщика, количество прописанных в квартире людей, ее площадь, наличие задолженности или субсидии, стоимость всех платежей по адресу. 

«Когда имеешь дело с КМДА — проще оторвать, чем замазать (о снимке платежки, на котором зарисовали адреса и личные данные, но QR-код оставили – прим. ред.). ГИВЦ слил все счета киевлян за коммуналку в открытый доступ. Можно полностью скачать базу платежек, просто перебирая obj_id», — написал Таунсенд.

Проблему устранили достаточно быстро — уже в 20:14 люди в комментариях сообщили, что «лавочку прикрыли». Теперь, чтобы перейти по такой ссылке, нужно авторизоваться на сайте, и доступ будет открыт только к вашим данным.

Чем грозит утечка?

В свободном доступе оказались ФИО киевлян, их адреса, а также платежки за разные коммунальные услуги.

Само по себе право собственности — публичная информация, которую можно посмотреть в реестре Минюста. Такую информацию предоставляют идентифицированным физическим и юридическим лицам, и владелец имущества может проверить, кто именно делал запрос.

Директор компании по кибербезопасности Berezha Константин Корсун напомнил, что имя собственника недвижимости в реестре регулируется отдельным законодательством, а вот данные, касающиеся суммы и даты выплат, фамилия человека, на которого оформлен договор или задолженность, не разглашаются (ЗУ «О защите персональных данных» — прим. ред.).  

Согласно статье 32 Конституции Украины, адрес, место проживания, личные имущественные и неимущественные отношения человека в бытовой сфере — это личная информация. Поэтому даже вывески в подъездах с должниками и номерами их квартир – не совсем законное явление.

Вот какие угрозы могут быть: 

• Данные могут использовать мошенники. Если у человека есть какая-либо задолженность, это видно по платежкам. Как и адрес с ФИО. Мошенники, обладая такими данными, могут притвориться коллекторами и шантажировать людей. Также люди с долгами могут привлечь внимание разных финансовых компаний, которые предлагают быстрый займ на невыгодных условиях. 
• Информацию могут использовать для создания базы данных, которую могут применять в разных целях.
• Если соседи вас недолюбливают, то спокойно могут поменять показания ваших счетчиков. Проблемы с коммунальными службами обеспечены. 

Где еще есть опасность утечки данных?

Сайты государственных и коммунальных предприятий иногда оставляют лазейки, которыми могут воспользоваться злоумышленники. 

Недавно мы писали об утечке личных данных людей, которые претендовали на вакансии госслужащих. Из-за отсутствия какой-либо защиты в открытом доступе оказались копии документов больше 50 тысяч человек. Тогда же в комментариях обсуждали, насколько этично писать о подобных уязвимостях в соцсетях.   

В комментариях к посту про коммунальные платежи упомянули и о других уязвимостях украинских сайтов. По словам Владимира Марущака, проблемы есть на сайте КП «Водоканал». 

«С “Киевводоканалом” связана аналогичная беда – https://kvk.meters.com.ua:7480/. Мало того, можно зайти по “левому” номеру договора (скажем, к шумному соседу) и передать некорректные данные счетчика воды, “обрадовав” пользователя суммой в квитанции», — написал Владимир. 

Лазейку нашли также на сайте Фонда государственного имущества Украины. Об этом рассказал бывший директор по информационным технологиям компании Ukrainian Retail Association Андрей Перевезий. 

По его словам, с помощью электронной почты можно зарегистрировать новый аккаунт и войти в систему. То есть каждый может получить доступ к техническим паспортам государственных зданий и некоторой другой непубличной информации. Он также сказал, что этот недочет можно использовать, чтобы распространить очередной компьютерный вирус.