Данные нарушителей самоизоляции обнаружили в интернете
Паспортные данные оштрафованных москвичей доступны на сайтах оплаты штрафов, пишет «Коммерсант». Их можно найти по уникальному идентификатору начислений (УИН) и собрать перебором с помощью простого софта.
На это 12 мая первым указал блог «Нора Ежика», который ведет анонимный московский юрист. Если ввести в сервисе для оплаты штрафов УИН, он покажет полное имя оштрафованного, серию и номер его паспорта. Эксперты кибербезопасности отмечают, что так называемым брутфорсом (методом полного перебора) из них можно собрать базу персональных данных. Вручную сделать это почти невозможно, так как УИН состоит из 20 или 25 цифр. Чтобы защититься от утечки, система должна иметь ограничение по числу запросов или «капчу», но ничего такого на сервисах нет.
В опрошенных «Коммерсантом» ведомствах открестились от ответственности. В департаменте информационных технологий Москвы сказали, что сервисы оплаты штрафов к ним не относятся. В Роскомнадзоре заявили, что жалобы на утечку не поступали. По данным мэрии, к 10 мая за нарушение самоизоляции оштрафовали 35 тысяч москвичей.