Росреестр не подтвердил уязвимость в мобильном приложении

Один из читателей телеграмм-канала "Утечки информации" обнаружил уязвимость, позволяющую без какой-либо аутентификации и авторизации, только по кадастровому номеру, получить персональные данные владельца объекта недвижимости.

По данным проверки канала, специально сформированный запрос, содержащий кадастровый номер интересующего объекта недвижимости, к серверу mobile.rosreestr.ru возвращает набор весьма чувствительных персональных данных, которые включает СНИЛС, паспортные данные, кадастровую стоимость и дату регистрации объекта недвижимости.

В пресс-службе Росреестра в ответ на запрос ComNews факт наличия уязвимости не подтвердили: "Приложение Росреестра не представлено на маркетплейсах и недоступно для скачивания. Проблему с его уязвимостью не подтверждаем".

"Надеюсь эту уязвимость оперативно устранят, однако серьезное опасение вызывает не только факт ее наличия, но то, что ведомство не предприняло действий для оперативного реагирования на сообщение о выявленной уязвимости. В текущих условиях такая информация на вес золота не только для мошенников, но и для недружественных стран, - прокомментировал генеральный директор разработчика системы распознавания паспорта Smart Engines к.т.н. Владимир Арлазаров. - Если говорить в общем, то это событие подтвердило, что необходимо полностью менять отношение к безопасности персональных данных, вводя жесткие регулярные нормы их передачи, обработки и серьезную ответственность за их утечку."

Ошибки и уязвимости в мобильных приложениях являются довольно распространенным явлением. К примеру, в феврале 2023 года один из пользователей мобильного приложения одного из российских банков обнаружил ошибку, связанную с особенностями перевода на заблокированную карту. За несколько дней, воспользовавшись уязвимостью, обнаруживший уязвимость вкладчик перевел себе без малого 70 млн руб. Годом раннее пользователи мобильного приложения другого российского банка обнаружили ошибку, позволяющую приобретать валюту по заниженному курсу. Ущерб от таких манипуляций составил $7 млн.

Старший специалист группы исследований безопасности мобильных приложений, Positive Technologies Артем Кулаков оценил итоги 2022 года по защищенности мобильных приложений следующим образом: "За 2022 год наша команда обнаружила 216 уязвимостей в 25 парах исследованных приложений для платформ Android и iOS. Наибольшая доля уязвимостей (14%) пришлась на хранение пользовательских данных в открытом виде. Несмотря на усилия со стороны разработчиков операционных систем и сообществ по безопасной разработке приложений, этот класс уязвимостей продолжает уверенно сохранять лидерство несколько лет подряд. Этот тренд сохранит актуальность в 2023 году". При этом, по оценке Артема Кулакова, в 2022 году ситуация с защищенностью мобильных приложений несколько улучшилась.

По состоянию на 14 часов 3 апреля, сайт mobile.rosreestr.ru не открывался, хотя официально Росреестр факт инцидента не подтвердил.