🗿 Сначала мы слышим, что мэрия Москвы усиливает сбор данных о горожанах (я писал об этом тут), а теперь оказывается, что в аккаунт человека на mos.ru можно было зайти всего лишь зная его номер телефона.

В мобильном приложении портала нашли уязвимость, с помощью которой потенциальный злоумышленник мог получить доступ к аккаунту гражданина, располагая при этом лишь телефонным номером последнего.

Проще говоря, в случае успешной эксплуатации уязвимости в руки злоумышленника или любопытного гражданина попадали: ФИО, адрес электронной почты, год рождения, номер СНИЛС и ОМС, список имущества, а также информация о загранпаспорте и детях.

👨🏻‍⚕️ А если злоумышленник знал ещё и номер полиса ОМС, то можно было через систему ЕМИАС получить доступ к медицинской информации: список врачей, которых посещает гражданин, какие рецепты он получает и тому подобное.

Разработчики уже устранили уязвимость. Но сам факт того, что в эту систему мы должны отправлять свои данные (всё больше и больше), чтобы пользоваться услугами города, не даёт мне покоя.