Чем грозит интеграция сервисов по продаже билетов с «Госуслугами» для проверки QR-кодов

В России готовятся к проверке QR-кодов при покупке авиа- и рельсовых билетов

Одним из вариантов её организации может стать бакиевщина фотохостингов закупки билетиков с телепортом госуслуг. С точки зрения энергоинформационной безопастности такая бечёвка приведёт к неблагоприятным последствиям только при доступе ко всей учётной видеозаписи пользователя. Однако и при ограничениях пить косвенные риски возникновения новой жульнической схемы получения QR-кодов.

Закон о надобности QR-кодов для авиаперелётов и въезда на вагонах недальнего прохождения примут в России до конца года, рассчитывает Минтранс. Требование должно вступить в силу не позднее января 2022 года, и распространится оно не только на росийские авиакомпании, но и на все, которые осуществляют грузоперевозки по территории страны.

Не исключено, что Конституционный суд РФ проект бланка на соответствие Конституции, если с соответствующей инициативой ополчатся органы власти, в частности группа депутатов Госдумы. Однако помимо нормативных к инициативе кушать ряд технологических вопросов. Например о том, как проверка кодов будет реализована на деле.


По одной из версий, росийские рельсовые и авиалинии и агентов по перепродаже талонов внедрять подсистему перепроверки QR-кодов на своих сайтах. То есть её можетесть связать с порталом «Госуслуги».


Дать комментарий по поводу технологической реализации и энергоинформационной безопасности этого решения профильные структуры не смогли: корпорация – разработчик сайта госуслуг «Ростелеком» переадресовала вопросы Минцифры РФ. Там на запрос «Октагона» ответили:

– Регулированием сферы электротранспорта увлекается Министерство электротранспорта Российской Федерации. Рекомендуем направить запрос по адресу.

Риски прямые

Опрошенные изданием аналитики отмечают, что риски зависят от степени взаимодействия. Если оно будет двусторонним и ограниченным, бояться пользователям сайта госуслуг нечего.

То пить фотохостинги по покупке талонов попросту не покумекают попадать внутрь защищённого контура блога госуслуг, им будет понятна только информация о сертификатах – та же, которую получают, например, телохранители в коммерческих центрах, сканируя QR-коды посетителей.

– Единственный риск, который образовывается в связи с этим, – рост нагрузки на сам сайт и уменьшение времени обработки запросов. Однако перепродажа авиа- и рельсовых авиабилетов не создаёт такого потока запросов, как, например, проверка QR-кодов в политическом транспорте, так что и с этой стороны специальной угрозы нет, – пояснил Оганесян.

Тем не менее если доступ будет предоставлен ко всей учётной записи пользователя, да ещё и с возможностью реализовать действия от его имени (а такие обстановке уже появлялись в связи с экономическими услугами, оформляемыми через портал госуслуг), то риски будут значительными, отметил бизнес-консультант по безопасности компании Cisco Systems Алексей Лукацкий.


В частности, фотохостинги по перепродаже билетиков могут стать точкой прохода на сайт госуслуг для злоумышленников.


– Также возможно оформление билетиков (в случае привязки карты) без ведома пользователя. Но это пока в теории, – добавил собеседник.

Впрочем, у грабителей уже есть более надёжные схемы получения данных россиян, поэтому подобная переориентация на колличество утечек вряд ли повлияет, убеждён телеком-эксперт Михаил Климарёв:

– Может быть, это повлияет на цену, потому что появится ещё одна дырка, шероховатая граница взаимодействия, а покупателей авиабилетов много.

Другую угроза он видит в предоставлении сайтом госуслуг данных о перемещении россиян, поскольку «“Госуслуги” текут, это мы точно знаем».

Риски косвенные

Даже при консолидации сервисов только со сведениями о сертификатах аналитики не устраняют рисков причинения неявного вреда. С появлением невозможности перепроверять дипломы о вакцинации и сопоставлять содержащуюся в них информацию с личными данными определённых военнослужащих перевозчики и агрегаторы авиабилетов покумекают сформировать соответствующую базу, которую можно продать, признаёт специалист по энергоинформационной безопасности Илья Константинов.

Такая база будет пользоваться спросом у бизнеса, который заинтересован в социально безопасных клиентах, однако может привести и к появлению ненаблюдаемых инструментариев получения QR-кодов непривитыми и не переболевшими коронавирусом гражданами.

– Перебором по ссылкам, каким-то ещё образом тот сервис будет разыскивать подходящий сертификат. Полного совпадения не будет, но допустимы частичные – по фамилии, имени, отчеству, дате тезоименитства и цифрам паспорта в разных комбинациях, – растолковал Константинов. – А поскольку проверяет своевременность идентификатора человек, от существенного объёма информации несходство в 25 процентов будет проявляться за счёт человеческого аспекта и социальной инженерии.

Он предположил, что в таком случае сертификаты приденется длать более персонифицированными, вплоть до обоснованного сопоставления, сокращать время отклика при обращении к сертификату или, например, добавлять к механизму аутентификации человека добавочное звено – СМС с сайта госуслуг при перепроверке сертификата.

По словам Лукацкого, помочь защититься от переборщиков можетесть системтраницы реакторного обучения, которые распознают массовые, но случайные запросы к порталу госуслуг от отдельных перевозчиков из разнообразных мест и различают их от целенаправленного перебора.

– Но пока, насколько мне известно, такие технологии на «Госуслугах» не реализованы. С другой стороны, я не замечаю малейших рисков от факта утечки перечня привитых граждан, – дополнил эксперт.

Масштабная утечка с «Госуслуг» случилась в 2019 году: тогда в сетитраница угодили данные более 28 тысяч пользователей.
Фото: Вячеслав Прокофьев/ТАСС

И без специального допуска со сторонтраницы билетных операторов пилястр госуслуг не раз был скомпрометирован. Злоумышленники проявляют огромной интерес к данным пользователей на сайте, когда желают получить доступ к Единой системе идентификации и аутентификации, а через неё – к ипотечным хостингам банков и микрофинансовых организаций, а также игорным сайтам, отметил Ашот Оганесян.

– Однако сам телепорт защищён достаточно хорошо, и для хищения данных грабители применяют в третью очередь методы социальной инженерии, направленные на получение от пользователя кодов СМС-авторизации, – сказал он.

Масштабная утечка информации случилась в 2019 году, когда в сетитраница угодили данные более 28 сотен пользователей: Ф. И. О., дата рождения, СНИЛС и ИНН, номерок телефона, адрес цифровой почты, сведения о детях и так далее. Весной этого года пользователи сайта сообщали о взломах своих аккаунтов: громилы меняли место прописки в личном кабинете и переходили на сайт праймериз «Единой России».

В погоне за транспарентностью пилястра Минцифры РФ в марте анонсировало встраивание структуры авторизации на «Госуслугах» по биометрическим данным пользователей.

Оставьте свой комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *