Паспортные данные оштрафованных за нарушение самоизоляции технически можно получить перебором УИН штрафа18.05.2020 15:36

x_f6bplif65obppe20mwc76eiwq.jpeg


С начала мая 2020 года было Главным контрольным управлением Москвы было оформлено более 35 тыс. штрафов за нарушение самоизоляции. За первое нарушение накладывался штраф в размере 4000 рублей, за повторное — 5000 рублей. Нарушители карантина получали в электронной форме через портал госуслуг или другими способами УИН (уникальный идентификатор начисления) штрафа, по которому они могли оплатить его с помощью различных сервисов. Вот только при просмотре информации по УИН «карантинных штрафов» в этих сервисах любой пользователь мог увидеть паспортные данные и ФИО оштрафованного лица. Эта информация без правок и сокращений оказалась доступна всем, кто может подобрать нужный диапазон валидных УИН (20 цифр), причем без регистрации и проверки типа «капча». Вдобавок в этой системе нет блокировки от попыток многократного введения УИН.
Фактически, проверка по номерам УИН штрафов, которую делают различные интернет-сервисы, проводится ими через Государственную информационную систему о государственных и муниципальных платежах (ГИС ГМП). Эти система находится под управлением Федерального казначейства.

В пресс-службе департамента информационных технологий (ДИТ) Москвы пояснили, что эта ситуация с персональными данными, отображаемыми в штрафах, находится вне деятельности департамента.

Юристы считают, что доступность паспортных данных и ФИО по УИН нарушает закон «О персональных данных». Они советуют пострадавшим пожаловаться в Роскомнадзор на нарушение закона о персональных данных. Правда, если регулятор и назначит по этой ситуации штраф (не более 75 тыс. рублей), то он пойдет в доход бюджета, а не на компенсацию пострадавшему. Далее пострадавший может добиваться компенсации через суд. Также в Роскомнадзоре рассказали, что в настоящее время жалоб на утечку персональных данных по номеру УИН к ним не поступало.

Ашот Оганесян, основатель и технический директор компании DeviceLock, прокомментировал эту ситуацию в Telegram-канале «Утечки информации»:

«Есть сайт «Оплата Госуслуг» (не имеет отношения к Порталу государственных услуг️). На этом сайте возможен поиск по УИН (уникальный идентификатор начисления).При поиске не используется CAPTCHA и нет защиты от массовых запросов.

Соответственно, можно перебором УИН найти все начисления. В некоторых начислениях (в частности штрафах за нарушение режима самоизоляции в Москве) указываются персональные данные граждан: ФИО и паспортные данные, причем не в частично обезличенном виде, а полностью.

Зная, как формируется УИН можно существенно упростить задачу перебора. УИН состоит из 20 и 25 цифр, последний разряд является контрольным и вычисляется по известной формуле (что позволяет перебирать только валидные номера). Например, УИН Главного контрольного Управление города Москвы состоит из 25 цифр. Первые 8 всегда 03162432, потом еще две известны — 77 и последняя — контрольный разряд.

Ранее в начале мая 2020 года в магазинах Google Play и App Store была опубликована обновленная версия приложения «Социальный мониторинг». С помощью этого приложения власти и органы здравоохранения имеют возможность контролировать удаленно соблюдение пользователями режима самоизоляции. Приложение проверяет как пользователь соблюдает все предписанные ему правила по изоляции. Например, может послать ночью на его смартфон push-уведомление с запросом прислать свое фото. Если это не будет сделано, то системой выписывается штраф в 4 тысячи рублей. Этот же штраф автоматически появляется, если приложение не было установлено и пользователь в нем не был зарегистрирован в течение суток после начала действий для него режима самоизоляция.

В середине мая 2020 года Айрат Хайруллин, министр цифрового развития государственного управления, информационных технологий и связи республики Татарстан (Минцифра Татарстана), сообщил о том, что с 12 мая 2020 года система смс-пропусков и справок от работодателя в Татарстане прекратила работу. Поэтому Минцифра собирается провести полное уничтожение базы данных цифровых пропусков, которая содержит личную информацию, включая паспортные данные, более 1,7 млн пользователей региона. Для организации этой процедуры удаления будет создана специальная комиссия.

fi0x4z2nhcc3-3bdzugakb4csji.png

Минутка заботы от НЛО


В мире официально объявлена пандемия COVID-19 — потенциально тяжёлой острой респираторной инфекции, вызываемой коронавирусом SARS-CoV-2 (2019-nCoV). На Хабре много информации по этой теме — всегда помните о том, что она может быть как достоверной/полезной, так и наоборот.

Мы призываем вас критично относиться к любой публикуемой информации


Официальные источники

Если вы проживаете не в России, обратитесь к аналогичным сайтам вашей страны.

Мойте руки, берегите близких, по возможности оставайтесь дома и работайте удалённо.
Читать публикации про: коронавирус | удалённую работу

© Habrahabr.ru