DLBI: из-за уязвимости в API для мобильного приложения «Росреестра» можно получить ПД владельцев недвижимости
По информации сервиса разведки утечек данных и мониторинга даркнета DLBI, из-за уязвимости в API для мобильного приложения «Росреестра» можно без аутентификации и авторизации и только по кадастровому номеру получить персональные данные (ПД) владельцев недвижимости.
Исследователь, который недавно обнаружил эту уязвимость, уведомил «Росреестр», но ведомство пока не предприняло меры по её устранению.
Эксперты DLBI проверили, что специально сформированный запрос, содержащий кадастровый номер интересующего объекта недвижимости, к серверу mobile.rosreestr.ru действительно возвращает такие данные:
- ФИО;
- дата рождения;
- адрес регистрации;
- СНИЛС;
- данные паспорта (серия, номер, кем и когда выдан);
- кадастровую стоимость;
- дату регистрации права собственности.
