Профайлы автомобилистов из «Госуслуги.Авто» могут попасть в даркнет

Хакеры могут взломать новый государственный QR-код для водителей

Госуслуги/YouTube
Электронный QR-код с документами автомобилистов от Минцифры уязвим для потенциальных хакерских атак, выяснили специалисты по кибербезопасности. В программном обеспечении этого приложения за последние годы выявлено более 30 угроз для взлома. Дальнейшее расширение функционала этой программы может привести к утечке персональных данных водителей в даркнет, говорят эксперты.

Приложение «Госуслуги.Авто» может стать легкой мишенью хакерских атак, обнаружил председатель экспертного совета при Генеральной прокуратуре, директор АНО «Информационная культура» Иван Бегтин. Это приложение разработано Минцифры для того, чтобы автомобилисты предъявляли инспекторам ДПС документы на машину в электронном виде. По словам Бегтина, эта программа создана на цифровом репозитории (хранилище баз данных) Artifactory версии 3.5.1 шестилетней давности, к защите которого у специалистов по кибербезопасности есть много вопросов.

«За время существования этого софта в нем было обнаружено более 30 опасных уязвимостей для взлома. Факт того, что при разработке государственного мобильного приложения использовалось небезопасное программное обеспечение, очень тревожен», — отметил в беседе с «Газетой.Ru» специалист по кибербезопасности Бегтин.

По его словам, программное обеспечение для этого приложения создано за рубежом, что вызывает опасения в связи с взятым курсом правительства на импортозамещение.

О рисках работы репозитория Atrifactory говорят и другие эксперты. Так, специалист по кибербезопасности одной из ведущих IT-компаний России, работающих с госсектором, подтвердил «Газете.Ru», что старая версия репозитория потенциально уязвима для «Госуслуги.Авто».

«Приложение может быть без особого труда взломано хакерами», — сообщил собеседник.

Пользователи не в курсе

Помимо слабой защищенности «Госуслуги.Авто» от кибератак, претензии экспертов вызывает и предусмотренная в нем возможность передачи личных данных автомобилистов третьим лицам. По словам Ивана Бегтина, в пользовательском соглашении ничего не сказано о передаче данных пользователя третьей стороне и юридически это никак не оформлено.

«Приложение «Госуслуги.Авто» содержит код, который относится к Российскому союзу автостраховщиков (РСА), в нем прошито взаимодействие с серверами этой организации. Непонятно, как будут использовать данные водителей страховые компании», — отметил директор АНО «Информационная культура».

В министерстве цифрового развития соглашаются, что их программа будет взаимодействовать со страховщиками, но подчеркивают, что это произойдет позднее в рамках расширения услуг.

«До запуска нового сервиса оформления европротокола передача данных из мобильного приложения «Госуслуги.Авто» в информационную систему РСА будет невозможна», — заверили «Газету.Ru» в пресс-службе Минцифры.

В РСА также отметили, что сейчас обмена данными между «Госуслуги.Авто» и АИС ОСАГО нет. Страховщики и Минцифры надеются в скором времени запустить с помощью приложения оформление европротокола без выезда сотрудников ГИБДД на место аварий, поэтому и предусмотрена интеграция с базой РСА. Это реализуют через модуль SDK (Software Development Kit), который будет интегрирован в приложение в последующих обновлениях.

Слабая защищенность приложения Минцифры от взлома может привести к утечке личных данных автомобилистов в такие серые зоны всемирной сети, как даркнет, считает депутат Госдумы Вячеслав Лысаков, соответственно, профайлами водителей смогут воспользоваться злоумышленники. Цифровизация различных сфер жизни идет слишком активно и не учитывает возможные негативные последствия перевода документов и процедур в электронный формат, указывает парламентарий.

«Перед тем как вводить тот или иной новый цифровой сервис, государству следует максимально обезопасить граждан от несанкционированного доступа к их личным данным.

Попав в руки мошенников, информация об автомобиле, водительском удостоверении, штрафах и прочем может обернуться против граждан. Притом что они добровольно загружают эти данные в приложение», — полагает Лысаков.

Утечка персональных данных водителей — уже очень большая проблема, констатирует координатор движения «Синие Ведерки» Петр Шкуматов.

«Самое страшное, что данные водителей уже сейчас есть в даркнете. Неофициально их можно приобрести и сейчас. Просто появится еще один канал утечки», — заявил правозащитник в беседе с корреспондентом «Газеты.Ru».