Электронные пропуска не прошли проверку

Москвичи 13 апреля смогли получить 1,8 млн цифровых пропусков, 90% — для поездок на работу. Пока сервис не проверяет введенные данные, то есть пользователи могут выдать себя за сотрудника любой организации. В результате пропуска для перемещения по городу продаются через фальшивые сайты и в Telegram-каналах. Система столкнулась с другой проблемой: серьезными сбоями, которые в мэрии объяснили в том числе кибератаками из-за рубежа. У экспертов эта причина вызывает вопросы и сомнения, хотя по независимым источникам ее невозможно точно ни подтвердить, ни опровергнуть.

На данный момент в Москве выдано 1,8 млн цифровых пропусков, из которых 90% — для поездок на работу, рассказали в департаменте информационных технологий Москвы (ДИТ). В работе портала mos.ru, где выдаются коды, в течение дня неоднократно наблюдались сбои, которые в мэрии объясняют ростом числа кибератак и повышенными нагрузками.

«Мы фиксируем бот-атаку на серверы mos.ru, в том числе из-за рубежа. Расследованием источников и причин атаки будут заниматься правоохранительные органы»,— сообщал Telegram-канал оперативного штаба по борьбе с коронавирусом. Там также появилась информация о том, что дополнительную нагрузку на сайт создала группа злоумышленников на портале JoyReactor.

В пресс-службе ДИТ отметили, что во время запуска сервиса цифровых пропусков 13 апреля 2020 система информационной безопасности блокировала источники атак, в частности были закрыты зарубежные источники атак, с которых могли осуществлять доступ к mos.ru.

Над расследованием атак работают специалисты Group-IB, сообщили в компании, отметив, что фиксировали «несколько DDoS-атак» на инфраструктуру Москвы и, в частности, на mos.ru с февраля 2020 года.

Во второй половине дня 13 апреля у абонентов отдельных провайдеров был временно недоступен и сайт госуслуг.

Между тем независимые эксперты фиксируют нагрузку на сайт mos.ru только с территории России. Mos.ru сейчас в принципе недоступен из-за рубежа, поэтому разговоры о зарубежных атаках не соответствуют действительности, уверен независимый эксперт по информационной безопасности Алексей Лукацкий. Он, впрочем, допускает возможность локальных DDoS-атак.

При этом нагрузка на систему еще далеко не полная: по оценкам эксперта, в нынешней системе выдачи цифровых пропусков явно нет сверки данных, которые присылают пользователи, человек может выдать себя за сотрудника любой компании, ввести любой ИНН и получить цифровой пропуск для поездки на работу. «Это не решает задачу и может подставить компании, на чье имя выдаются пропуска»,— говорит господин Лукацкий. Он также ожидает роста числа сайтов, которые будут предлагать быстро и без очередей оформить пропуск за деньги. Мошенники могут выманивать данные карт или персональную информацию пользователей, например, для получения кредитов, предупреждает эксперт.

О появлении мошеннических сайтов и Telegram-каналов, предлагающих приобрести справки-пропуска без анкет и заявлений по скану паспорта, уже говорят и в Group-IB. Стоимость справки-пропуска для передвижения по Москве составляет 3 тыс. руб., для передвижения по регионам РФ — 3,5 тыс. руб., для въезда в город (Москва, Санкт-Петербург) — 4 тыс. руб., для въезда в регионы РФ — 4,5 тыс. руб., сообщили в компании.

Регистрацию множества сайтов, копирующих портал мэрии и сайт госуслуг, фиксирует также Qrator Labs. «Такие ресурсы под видом услуг по предоставлению пропусков могут собирать персональные данные и заниматься мошенничеством»,— говорит технический директор Qrator Labs Артем Гавриченков. Поэтому, прежде чем заходить на ресурсы мэрии и госуслуг, необходимо внимательно проверять адресную строку, рекомендует он.

В то же время у экспертов есть вопросы к безопасности официальной системы.

Очевидно, что создание платформы для выдачи кодов в такой сжатый срок неизбежно должно было привести к снижению качества и устойчивости ее работы, говорит господин Гавриченков.

«Странно, например, что на платформе работает система капчи Google, с помощью которой данные пользователей могут собираться и передаваться за рубеж»,— отмечает эксперт. Очевидно, что система готовилась в режиме нехватки времени, подчеркивает он, поэтому логично было бы полностью исключить хранение данных о гражданах и их маршрутах на серверах, обеспечив хранение информации «только в хешированном, то есть преобразованном виде».

В пресс-службе МВД не смогли объяснить систему проверки QR-rодов, сославшись на большую занятость, попросив направить вопросы письменно и пообещав ответить в ближайшее время. На запрос “Ъ” в МВД не ответили.

Юлия Степанова, Юлия Тишина