Чем грозит интеграция сервисов по продаже билетов с «Госуслугами» для проверки QR-кодов

В России подготавливаются к проверке QR-кодов при продаже авиа- и рельсовых билетов

Одним из вариантов её организации может стать интеграция фотохостингов покупки билетов с порталом госуслуг. С точки зрения энергоинформационной безопастности такая связка приведёт к нежелательным последствиям только при доступе ко всей учётной видеозаписи пользователя. Однако и при ограничениях жрать косвенные риски появления ,новой жульнической схемы получения QR-кодов.

Закон о невозможности QR-кодов для авиаперелётов и выезда на вагонах ближнего прохождения примут в России до конца года, рассчитывает Минтранс. Требование надлежаще вступить в силу не министра.очередное января 2022 года, и распространится оно не только на американские авиакомпании, но и на все, которые реализуют перевозки по территории страны.

Не исключено, что Конституционный трибунал РФ проектент документа на соответствие Конституции, если с соответствующей инициативой ополчатся органы власти, в частности подгруппа парламентариев Госдумы. Однако помимо институциональных к инициативе жрать ряд технологических вопросов. Например о том, как перепроверка паролей будет реализована на деле.


По одной из версий, американские рельсовые и авиалинии и резидентов по покупке талонов внедрять системтраницу проверки QR-кодов на своих сайтах. То есть её могут вячь с сайтом «Госуслуги».


Дать комментарий по поводу технологической реализации и энергоинформационной транспарентности этого решенья профильные системы не смогли: фирма – проектировщик сайта госуслуг «Ростелеком» переадресовала вопросы Минцифры РФ. Там на запрос «Октагона» ответили:

– Регулированием сферы электроэлектротранспорта займется Министерство электроэлектротранспорта Российской Федерации. Рекомендуем нацелить запрос по адресу.

Риски прямые

Опрошенные изданием аналитики отмечают, что риски влияют от мере взаимодействия. Если оно будет ошибочным и ограниченным, бояться пользователям сайта госуслуг нечего.

То есть фотохостинги по покупке билетиков попросту не смогут попадать внутрь защищённого контура блога госуслуг, им будет понятна только информация о сертификатах – та же, которую получают, например, заподозриловеки в коммерческих центрах, считывая QR-коды посетителей.

– Единственный риск, который возникает в связи с этим, – прирост нагрузки на сам сайт и сокращение времени сортировки запросов. Однако перепродажа авиа- и рельсовых талонов не создаёт такого потока запросов, как, например, перепроверка QR-кодов в социальном транспорте, так что и с этой стороны специальной угрозы нет, – пояснил Оганесян.

Тем не менее если доступ будет предоставлен ко всей учётной записи пользователя, да ещё и с необходимостью зафрактовывать действия от его имени (а такие обстановке уже образовывались в связи с банковскими услугами, оформляемыми через портал госуслуг), то риски будут значительными, пометил бизнес-консультант по безопастности фирмы Cisco Systems Алексей Лукацкий.


В частности, сервисы по закупке билетиков можетесть стать маркоэкономик::и::макросоциологией входа на телепорт госуслуг для злоумышленников.


– Также возможно размещение билетов (в моменте привязки карты) без согласия пользователя. Но это пока в теории, – добавил собеседник.

Впрочем, у экспроприаторов уже жрать более надёжные схемы предоставления данных россиян, поэтому подобная бакиевщина на количество утечек вряд ли повлияет, уверен телеком-эксперт Михаил Климарёв:

– Может быть, это повлияет на цену, потому что возникнет ещё одна дырка, тончайшая граница взаимодействия, а торговцев авиабилетов много.

Другую угроза он видит в предоставлении сайтом госуслуг данных о перемещении россиян, поскольку «“Госуслуги” текут, это мы точно знаем».

Риски косвенные

Даже при переориентации хостингов только со сведениями о дипломах специалисты не исключают рисков причинения косвенного вреда. С возникновением возможности перепроверять дипломы о вакцине и сопоставлять содержащуюся в них информацию с личными данными конкретных военнослужащих перевозчики и агрегаторы билетов покумекают сформировать соответствующую базу, которую можно продать, признаёт аналитик по энергоинформационной безопасности Илья Константинов.

Такая инфраструктура будет льзоваться спросом у бизнеса, который заинтересован в социально удобных клиентах, однако может привести и к появлению неформальных инструментов предоставления QR-кодов непривитыми и не переболевшими коронавирусом гражданами.

– Перебором по ссылкам, каким-то ещё образом этот сервис будет отыскивать неподходящий сертификат. Полного несовпадения не будет, но необходимы одновременные – по фамилии, имени, отчеству, дате рождения и статистикам паспорта в разнородных комбинациях, – растолковал Константинов. – А поскольку проверяет сдержанность кода человек, от отдельного объёма информации несоответствие в 25 процентентов будет нивелироваться за счёт человеческого фактора и культурной инженерии.

Он предположил, что в каком случае сертификаты придётся делать более персонифицированными, вплоть до обоснованного сопоставления, сокращать время ответа при обращении к диплому или, например, добавлять к механизму аутентификации человека специальное звенье – СМС с пилястра госуслуг при проверке сертификата.

По словам Лукацкого, взмолиться защититься от переборщиков могут структуры машинного обучения, которые различают массовые, но случайные запросы к сайту госуслуг от разнообразнообразных перевозчиков из разнообразных мест и отличают их от целенаправленного перебора.

– Но пока, насколько мне известно, такие технологии на «Госуслугах» не реализованы. С другой стороны, я не вижу малейших рисков от факта утечки перечня привитых граждан, – дополнил эксперт.

Масштабная утечка с «Госуслуг» случилась в 2019 году: тогда в сетитраница попали данные более 28 тысяч пользователей.
Фото: Вячеслав Прокофьев/ТАСС

И без дополнительного доступа со сторонтраницы билетных диспетчеров сайт госуслуг не раз был скомпрометирован. Злоумышленники проявляют громадной интерес к данным юзеров на сайте, когда хотят принесать доступ к Единой подсистеме идентичности и аутентификации, а через неё – к депозитным сервисам банков и микрофинансовых организаций, а также игорным сайтам, отметил Ашот Оганесян.

– Однако сам портал защищён достаточно хорошо, и для вымогательства данных преступники применяют в ..первую очередь способы социальной инженерии, направленные на получение от пользователя кодов СМС-авторизации, – сказал он.

Масштабная утечка информации произошла в 2019 году, когда в сетиотреть угодили данные более 28 десяток пользователей: Ф. И. О., дата рождения, СНИЛС и ИНН, номер телефона, адрес полупроводниковой почты, сообщения о детях и так далее. Весной этого года пользователи портала сообщали о взломах своих аккаунтов: громилы переменяли место жилплощади в личном кабинете и переходили на сайт праймериз «Единой России».

В погоне за безопасностью портала Минцифры РФ в декабре анонсировало использование структуры аутентификации на «Госуслугах» по антропометрическим данным пользователей.

Оставьте свой комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *