Пользователь Twitter Анатолий Капустин опубликовал на своей странице скриншоты чата с техподдержкой портала «Госуслуги», в котором москвич, захотевший получить свидетельствующий о вакцинации QR-код для прохода в заведение общепита, уведомляет сотрудника службы поддержки о «дыре размером с ворота» по ссылке, которая зашифрована в коде. До конца неясно, чей это был диалог — самого Капустина или кого-то еще.
Пользователь утверждает, что он сам решил проверить, какие именно данные выдаются по ссылке, на которую ведет QR-код. По его словам, там указываются паспортные данные, ИНН, адрес, данные о машине.
«Все это в открытом виде может получить любой, кто смог увидеть или сфотографировать этот код», — отметил он.
Москвич попросил техподдержку срочно уведомить об этом отдел безопасности «Госуслуг».
В ответ на это в чате ему пришло стандартное сообщение о загруженности информационной системы «в связи с большим количеством запросов, связанных с COVID-19».
Спустя несколько часов Анатолий Капустин разместил продолжение этой истории. Он указал, что проблему решили и «выяснили, что вроде как дыры нет и залогиненному пользователю отдают только его данные».
«МБХ медиа» проверило доступность данных по QR-коду для незалогиненных на «Госуслугах» пользователей: там показываются только отметка о действительности сертификата, инициалы, дата рождения, серия и последние три цифры паспорта его владельца.
Однако, по словам блогера, «ответ техподдержки менее смешным не стал».
«МБХ медиа» обратилось к руководителю проекта «Роскомсвобода» Артему Козлюку с просьбой прокомментировать вероятность существования подобных «дыр» в таких базах данных. По его мнению, теоретически такой слив возможен.
«Подобные базы у нас плохо защищены, и регулярно происходят утечки данных, в том числе, биометрических», — отметил он.
Руководитель проекта «Роскомсвобода» добавил, что зачастую утечки личной информации происходят из-за отсутствия общественно-контролируемого хранения и доступа к той информации, которую собирают о гражданах государство и корпорации.
На вопрос о том, как можно защититься от утечки, но при этом получить QR-код, чтобы продолжать жить привычной жизнью без ограничений, Артем Козлюк посоветовал минимизировать использование QR-кодов.
«Надо понимать, что оно может привести вот к таким последствиям», — заключил он.
Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.