На одном теневом форуме выставили на продажу сведения, полученные, по словам продавца, из приложения «Госуслуги стоп коронавирус». Первым на это внимание обратил Telegram-канал «Утечки информации».
База не содержит персональных данных в привычном их понимании. В представленном образце данные были практически обезличены – известны лишь первые буквы фамилии, имени и отчества, дата рождения и несколько цифр из серии и номера паспорта. Однако, как отметил автор на форуме, те, у кого есть база ФИО и дат рождения, могут объединить данные для получения полноценной базы вакцинированных.
Пример базы
Тестовая проверка некоторых QR-кодов из бесплатного примера показала, что QR-коды действительно рабочие – они ведут на сайт Госуслуг, а отображаемые данные совпадают с теми, что есть в базе.
Как стало впоследствии известно, до 15 декабря 2021 года на сайте Госуслуг существовала уязвимость, которая методом перебора позволяла получать данные о QR-кодах вакцинации. Об уязвимости сообщила «Медиазона»* (иноагент) ещё летом в 2021 году Минцифры и «Ростелекому», но не получила от них никакого ответа.
По данным издания, лишь 15 декабря 2021 уязвимость была устранена, сейчас ей воспользоваться невозможно, но, похоже, к тому времени злоумышленники уже успели спарсить целую базу данных о QR-кодах.
Тем временем в Министерстве цифрового развития РФ заявили, что организована проверка информации об утечке. В ведомстве сообщили, что угрозы для безопасности личных данных пользователей приложения «Госуслуги СТОП коронавирус» нет.
