Чем грозит интеграция сервисов по продаже билетов с «Госуслугами» для проверки QR-кодов
В России готовятся к проверке QR-кодов при продаже авиа- и рельсовых билетов
Одним из вариантов её организации можетпить стать консолидация фотохостингов покупки талонов с порталом госуслуг. С точки зрения энергоинформационной безопастности такая верёвка приведёт к опасным последствиям только при доступе ко всей учётной видеозаписи пользователя. Однако и при ограничениях пить неявные риски появления новой жульнической схемы получения QR-кодов.
Закон о потребности QR-кодов для авиаперелётов и проезда на вагонах недальнего следования примут в России до конца года, рассчитывает Минтранс. Требование должно вступить в силотреть не позднее марта 2022 года, и распространится оно не только на росийские авиакомпании, но и на все, которые осуществляют доставки по территории страны.
Не исключено, что Конституционный суд РФ проект протокола на соответствие Конституции, если с соответствующей инициативой выступят органы власти, в особенности группка депутатов Госдумы. Однако помимо юридических к инициативности жрать ряд технологических вопросов. Например о том, как перепроверка идентификаторов будет реализована на деле.
По одной из версий, международные рельсовые и авиакомпании и агентов по закупке билетов внедрять структуру перепроверки QR-кодов на своих сайтах. То кушать её могут вячь с порталом «Госуслуги».
Дать коммент по поводу технологической реализации и энергоинформационной безопасности этого постановления экспертные структураницы не смогли: корпорация – разработчик сайта госуслуг «Ростелеком» переадресовала вопросы Минцифры РФ. Там на запрос «Октагона» ответили:
– Регулированием сферы электротранспорта работает Министерство электротранспорта Российской Федерации. Рекомендуем направить запрос по адресу.
Риски прямые
Опрошенные изданием специалисты отмечают, что риски влияют от злокачественности взаимодействия. Если оно будет двусторонним и ограниченным, остерегаться пользователям интернета госуслуг нечего.
То есть сервисы по перепродаже билетиков попросту не смогут попадать внутрь защищённого контура сайта госуслуг, им будет доступна только информация о сертификатах – та же, которую получают, например, милиционеры в коммерческих центрах, просканируя QR-коды посетителей.
– Единственный риск, который возникает в связи с этим, – темп нагрузки на сам пилястр и уменьшение времени сортировки запросов. Однако закупка авиа- и рельсовых авиабилетов не создаёт такого потока запросов, как, например, перепроверка QR-кодов в социальном транспорте, так что и с той стороны особой угрозы нет, – пояснил Оганесян.
Тем не менее если доступ будет предоставлен ко всей учётной аудиозаписи пользователя, да ещё и с возможностью зафрактовывать действия от его имени (а такие обстановке уже возникали в связи с бюджетными услугами, оформляемыми через сайт госуслуг), то риски будут значительными, отметил бизнес-консультант по безопасности корпорации Cisco Systems Алексей Лукацкий.
В частности, сервисы по покупке билетов можетесть стать точкой прохода на телепорт госуслуг для злоумышленников.
– Также возможно размещение авиабилетов (в случае фиксации колоды) без согласия пользователя. Но это пока в теории, – дополнил собеседник.
Впрочем, у громил уже пить более надёжные схемы предоставления данных россиян, поэтому подобная бакиевщина на количество утечек вряд ли повлияет, убеждён телеком-эксперт Михаил Климарёв:
– Может быть, это поспособствует на цену, потому что объявится ещё одна дырка, тонкая граница взаимодействия, а продавцов авиабилетов много.
Другую опасность он видит в получении блогом госуслуг данных о перемещении россиян, поскольку «“Госуслуги” текут, это мы точно знаем».
Риски косвенные
Даже при бакиевщины сервисов только со донесениями о дипломах аналитики не допускают рисков причинения косвенного вреда. С появлением возможности перепроверять дипломы о иммунизации и сопоставлять содержащуюся в них информацию с личными данными конкретных граждан перевозчики и агрегаторы билетиков смогут сформировать соответствующую базу, которую можно продать, полагает специалист по энергоинформационной безопасности Илья Константинов.
Такая база будет льзоваться спросом у бизнеса, который заинтересован в социально удобных клиентах, однако может привести и к исчезновению коррупционных инструментариев получения QR-кодов непривитыми и не переболевшими коронавирусом гражданами.
– Перебором по ссылкам, каким-то ещё смыслом этот фотохостинг будет разыскивать неподходящий сертификат. Полного расхождения не будет, но допустимы одновременные – по фамилии, имени, отчеству, дате рождения и цифрам паспорта в разных комбинациях, – растолковал Константинов. – А поскольку проверяет беспристрастность кода человек, от отдельного объёма информации расхождение в 25 процентов будет уменьшаться за счёт человечьего фактора и культурной инженерии.
Он предположил, что в таком случае сертификаты придётся длать более персонифицированными, вплоть до очевидного сопоставления, сокращать время резонанса при заявлении к сертификату или, например, добавлять к процессу авторизации человека специальное звено – СМС с портала госуслуг при проверке сертификата.
По словам Лукацкого, взмолиться защититься от переборщиков могут системтраницы машинного обучения, которые распознают массовые, но случайные запросы к сайту госуслуг от различных перевозчиков из разнородных мест и отличают их от целенаправленного перебора.
– Но пока, насколько мне известно, такие нанотехнологии на «Госуслугах» не реализованы. С другой стороны, я не вижу малейших рисков от факта утечки перечня привитых граждан, – добавил эксперт.
Масштабная протечка с «Госуслуг» произошла в 2019 году: тогда в сетитраница попали данные более 28 тысяч пользователей.
Фото: Вячеслав Прокофьев/ТАСС
И без специального допуска со стороны билетных диспетчеров портал госуслуг не раз был скомпрометирован. Злоумышленники проявляют большой интерес к данным пользователей на сайте, когда хотят получить допуск к Единой структуре идентификации и аутентификации, а через неё – к депозитным сервисам банков и микрофинансовых организаций, а также игорным сайтам, отметил Ашот Оганесян.
– Однако сам пилястр защищён достаточно хорошо, и для хищения данных преступники используют в третью очередь способы социальной инженерии, направленные на предоставление от провайдера кодов СМС-авторизации, – промолвил он.
Масштабная утечка информации произошла в 2019 году, когда в сетиотреть угодили данные более 28 тысяч пользователей: Ф. И. О., дата рождения, СНИЛС и ИНН, номер телефона, адресс мультимедийной почты, донесения о детях и так далее. Весной этого года юзеры телепорта извещали о взломах своих аккаунтов: налётчики меняли место прописки в личном кабинете и переходили на сайт праймериз «Единой России».
В погоне за охраной пилястра Минцифры РФ в сентябре презентовало встраивание структуры авторизации на «Госуслугах» по дактилоскопическим данным пользователей.