Портал «Госуслуги» играет важную роль в повседневной жизни жителей России, предоставляя возможности для записи на приём к врачу, оплаты налогов и штрафов, оформления различных документов и многого другого. Однако, как и любой другой цифровой сервис, эта платформа подвержена определённым уязвимостям, что подвергает риску безопасность личных данных пользователей, сообщил юрист Давид Адамс.

В интервью Общественной службе новостей он описал потенциальные угрозы для пользователей «Госуслуг» и рассказал о том, как можно минимизировать эти риски.

По словам Адамса, безопасность данных на «Госуслугах» не всегда зависит от осторожности самих пользователей. Основная проблема заключается в архитектуре самой системы, утверждает он.

Адамс привел в пример случаи, когда на портале существовали проблемы с проверкой перенаправлений. Это приводило к тому, что ссылка на «Госуслуги» могла перенаправлять пользователя на сторонний сайт, как правило, без его ведома. В таких ситуациях можно было получить доступ к личным данным пользователя или ввести его в заблуждение. Однако представители платформы уверяют, что указанная уязвимость уже устранена.

Кроме того, юрист отметил проблемы с открытыми файлами на поддоменах «Госуслуг», где через простые переборы идентификаторов можно было получить доступ к документам. Подобные уязвимости не зависят от поведения пользователей и существуют в коде. Хотя такие уязвимости закрываются достаточно оперативно, факт их существования свидетельствует о потенциальном риске утечки данных.

Также Адамс указал на утечки информации через исходный код, который иногда оказывался публично доступным. Репозитории с конфигурациями и тестовыми ключами могли быть использованы злоумышленниками для изучения внутренней работы системы. Ошибки в интерфейсах, выявленные на вспомогательных страницах, также представляют угрозу, так как позволяют вставлять и выполнять посторонний код, что подвергает риску данные пользователей. Зачастую также возникают сбои в работе модулей авторизации и публикации, что в случае перегрузки серверов или неправильных настроек может давать доступ к информации.