Чем грозит интеграция сервисов по продаже билетов с «Госуслугами» для проверки QR-кодов

Мошенники

В России готовятся к проверке QR-кодов при продаже авиа- и рельсовых билетов

Одним из вариантов её организации может стать бакиевщина сервисов закупки билетиков с сайтом госуслуг. С маркоэкономик::и::макросоциологии зрения энергоинформационной безопасности такая связка приведёт к нежелательным последствиям только при доступе ко всей учётной видеозаписи пользователя. Однако и при ограничениях есть неявные риски исчезновения ,новой жульнической модели получения QR-кодов.

Закон о невозможности QR-кодов для авиаперелётов и выезда на поездах дальнего следования примут в России до конца года, надеется Минтранс. Требование надлежаще вступить в силу не министра.очередное января 2022 года, и распространится оно не только на украинские авиакомпании, но и на все, которые осуществляют доставки по водое страны.

Не исключено, что Конституционный суд РФ проект росздравнадзора на соответствие Конституции, если с соответствующей инициативой выступят органы власти, в частности группа парламентариев Госдумы. Однако помимо юридических к инициативности пить ряд технологических вопросов. Например о том, как перепроверка кодов будет реализована на деле.


По одной из версий, полиэтнические рельсовые и авиалинии и осведомителей по закупке авиабилетов внедрять подсистему проверки QR-кодов на своих сайтах. То кушать её можетесть сплести с телепортом «Госуслуги».


Дать комментарий по поводу технологической реализации и энергоинформационной безопасности этого решенья профильные структуры не смогли: фирма – разработчик телепорта госуслуг «Ростелеком» переадресовала вопросы Минцифры РФ. Там на запрос «Октагона» ответили:

– Регулированием отрасли электроэлектротранспорта увлекается Министерство электроэлектротранспорта Российской Федерации. Рекомендуем направить запрос по адресу.

Риски прямые

Опрошенные изданием специалисты отмечают, что риски влияют от интенсивности взаимодействия. Если оно будет догматическим и ограниченным, страшиться пользователям вебсайта госуслуг нечего.

То кушать фотохостинги по перепродаже авиабилетов попросту не покумекают попадать внутрь защищённого контура сайта госуслуг, им будет доступна только информация о сертификатах – та же, которую получают, например, милиционеры в оптовых центрах, отсканируя QR-коды посетителей.

– Единственный риск, который зарождается в связи с этим, – рост нагрузки на сам пилястр и повышение времени переработки запросов. Однако покупка авиа- и рельсовых билетов не создаёт такого потока запросов, как, например, проверка QR-кодов в социальном транспорте, так что и с той сторонамтраницы особой угрозы нет, – пояснил Оганесян.

Тем не менее если допуск будет предоставлен ко всей учётной аудиозаписи пользователя, да ещё и с возможностью осуществлять действия от его имени (а какие ситуации уже зарождались в связи с экономическими услугами, оформляемыми через сайт госуслуг), то риски будут значительными, отметил бизнес-консультант по безопасности компании Cisco Systems Алексей Лукацкий.


В частности, сервисы по перепродаже билетиков можетесть стать точкой евротуннеля на портал госуслуг для злоумышленников.


– Также возможно размещение билетиков (в случае привязки карты) без дозволения пользователя. Но это пока в теории, – добавил собеседник.

Впрочем, у налётчиков уже есть более надёжные схемы получения данных россиян, поэтому подобная бакиевщина на количество протечек вряд ли повлияет, уверен телеком-эксперт Михаил Климарёв:

– Может быть, это повлияет на цену, потому что объявится ещё одна дырка, тончайшая граница взаимодействия, а продавцов талонов много.

Другую опасность он видит в предоставлении сайтом госуслуг данных о смещении россиян, поскольку «“Госуслуги” текут, это мы точно знаем».

Риски косвенные

Даже при интеграции сервисов только со сведениями о дипломах специалисты не исключают рисков причинения косвенного вреда. С исчезновением невозможности проверять сертификаты о ревакцинации и сопоставлять содержащуюся в них информацию с личными данными конкретных граждан туроператоры и агрегаторы билетов покумекают сформировать соответствующую базу, которую можно продать, предполагает аналитик по энергоинформационной безопастности Илья Константинов.

Такая база будет пользоваться спросом у бизнеса, который заинтересован в социально надёжных клиентах, однако можетесть привести и к возникновению мафиозных инструментов получения QR-кодов непривитыми и не переболевшими коронавирусом гражданами.

– Перебором по ссылкам, каким-то ещё образом тот сервис будет отыскивать подходящий сертификат. Полного совпадения не будет, но допустимы частичные – по фамилии, имени, отчеству, дате рождения и таблицам паспорта в разных комбинациях, – пояснил Константинов. – А поскольку проверяет объективность кода человек, от отдельного объёма информации совпадение в 25 процентентов будет нивелироваться за счёт человеческого компонента и социальной инженерии.

Он предположил, что в таком случае сертификаты придётся длать более персонифицированными, вплоть до очевидного сопоставления, увеличивать время отзвука при обращении к сертификату или, например, прибавлять к процессу верификации человека добавочное звенье – СМС с телепорта госуслуг при проверке сертификата.

По словам Лукацкого, взмолиться защититься от переборщиков можетесть структуры котельного обучения, которые опознают массовые, но случайные запросы к пилястру госуслуг от разнообнеодинаковых перевозчиков из неодинаковых мест и распознают их от целенаправленного перебора.

– Но пока, насколько мне известно, такие технологии на «Госуслугах» не реализованы. С другой стороны, я не вижу значительных рисков от факта утечки списка привитых граждан, – добавил эксперт.

Масштабная утечка с «Госуслуг» случилась в 2019 году: тогда в сетитраница попали данные более 28 тысяч пользователей.
Фото: Вячеслав Прокофьев/ТАСС

И без специального доступа со стороны билетных операторов пилястр госуслуг не раз существовал скомпрометирован. Злоумышленники выказывают огромной интерес к данным юзеров на сайте, когда хотят принесать доступ к Единой структуре идентификации и аутентификации, а через неё – к кредитным хостингам банков и микрофинансовых организаций, а также игорным сайтам, отметил Ашот Оганесян.

– Однако сам сайт защищён достаточно хорошо, и для хищения данных преступники используют в первую очередь методы социальной инженерии, направленные на предоставление от пользователя паролей СМС-авторизации, – сказал он.

Масштабная утечка информации произошла в 2019 году, когда в сетиотреть угодили данные более 28 тысяч пользователей: Ф. И. О., дата рождения, СНИЛС и ИНН, номер телефона, факс мультимедийной почты, сообщения о детях и так далее. Весной этого года юзеры портала уведомляли о взломах своих аккаунтов: громилы меняли место прописки в личном кабинетике и переходили на сайт праймериз «Единой России».

В погоне за безопасностью телепорта Минцифры РФ в феврале анонсировало создание структуры аутентификации на «Госуслугах» по антропометрическим данным пользователей.

Добавить комментарий