Паспортные данные нарушителей самоизоляции оказались в открытом доступе

По уникальному идентификатору начислений (УИН) штрафа за нарушение самоизоляции в Москве в сервисах их оплаты можно обнаружить персональные данные оштрафованного, в том числе фамилию, имя, отчество и паспортные данные. Корреспондент издания убедился в этом, введя УИН на одном из сервисов для оплаты штрафов. Информацию подтверждают и компании в сфере кибербезопасности.

Вручную собрать персональные данные методом перебора УИН трудоемко и почти невозможно, зато программа в автоматизированном режиме сможет выполнить эту работу, говорит начальник отдела информационной безопасности "СерчИнформ" Алексей Дрозд.

Чтобы система была защищена от утечек, она должна блокировать попытки многократного введения УИН, а данные должны публиковаться в частично обезличенном виде, рекомендует он. Сайты для оплаты штрафов зачастую не имеют защиты от таких действий — ни ограничения числа запросов, ни даже "капчи" (тест, чтобы определить, является пользователь системы человеком или компьютером), отмечает основатель DeviceLock Ашот Оганесян. Хотя УИН состоит из 20 или 25 цифр, перебор его — простая задача, отмечает он.