Новият руски уебсайт за електронни призовки е уязвим - той позволява да се получат личните данни на всеки руснак в системата.
Това твърди "Новая газета. Европа" - една от малкото останали независими руски медии, която вече действа извън страната, защото Върховният съд отне лиценза ѝ още през септември 2022 г. "Новая газета" е създадена през 1993 г. и се ръководи от европейски стандарти в журналистическата работа. Главният редактор на медията Дмитрий Муратов получи Нобеловата награда за мир през 2021 г.
Още: Русия обяви Нобелов лауреат за "чуждестранен агент" (ВИДЕО)
Медията е открила огромна уязвимост в сайта registrpovestok.rf, която може да отведе до данните на всеки руснак, регистриран в "Госуслуги" чрез този сайт. За да получите достъп до данните, трябва да знаете уникалния идентификационен номер на потребителя в "Госуслуги" и да направите съответната заявка към сървъра на регистъра на призовките. В отговор сайтът ще предостави пълното име, датата на раждане, номера на паспорта и други лични данни на съответния руски гражданин.
"Новая газета. Европа" се позова на анонимен IT експерт. Министерството на цифровото развитие и "Ростелеком" обявиха, че няма уязвимости в сайта.
Същината на проблема
Уебсайтът на Единния регистър за призовки започна да работи вчера в три региона на Русия - Марий Ел, Сахалинска и Рязанска област. Засега уебсайтът функционира в тестов режим - той трябва да започне да работи пълноценно на 1 ноември.
Още: Microsoft предупреди: Русия засилва дезинформацията срещу кампанията на Харис
Registrypovestok.rf настойчиво предлага на потребителите да инсталират вътрешен сертификат за сигурност SSL от Министерството на цифровото развитие. Такива сертификати криптират връзката със сайтовете (от страна на потребителя тя изглежда така: „http“, в линка се заменя с „https“ - където „s“ означава „secure“, или защитена връзка). По-голямата част от трафика в интернет се криптира чрез "https" - така го съхраняват руските доставчици по искане на Федералната служба за сигурност (ФСБ). Не е известно със сигурност дали руските специални служби могат ефективно да декриптират такъв трафик.
Регистърът на призовките твърди, че е възможно да се „осигури сигурна връзка“ с него само с помощта на местен сертификат, но това е откровена манипулация, смятат от "Новая газета. Европа". Сайтът вече е защитен с международен сертификат от белгийската компания GlobalSign.
Предполага се, че в сертификата за сигурност на Министерството на цифровото развитие на Русия има вратичка, която ще позволи на руските специални служби да декриптират трафика - не само от сайта на електронните призовки, но и от други ресурси. Това е заявил анонимен експерт от организацията „Роскомсвобода“ в разговор с изданието "Верстка".
"Ако сертификатът на Министерството на цифровото развитие бъде добавен към мобилните операционни системи, ще бъде възможно да се "подслушва" трафикът не само на браузърите, но и на онези месинджъри, които не са се погрижили да се предпазят от това,“ казва IT експертът.
Още: Руски журналист продава нобеловия си медал за мир в помощ на украински деца