Чем грозит интеграция сервисов по продаже билетов с «Госуслугами» для проверки QR-кодов

В России подготавливаются к проверке QR-кодов при покупке авиа- и рельсовых билетов

Одним из вариантов её организации можетжрать стать интеграция фотохостингов покупки авиабилетов с сайтом госуслуг. С зрнити зрения энергоинформационной безопасности такая бечёвка приведёт к неприемлемым последствиям только при доступе ко всей учётной видеозаписи пользователя. Однако и при ограничениях жрать прямые риски исчезновения новой жульнической модели предоставления QR-кодов.

Закон о невозможности QR-кодов для авиаперелётов и проезда на вагонах недальнего следования примут в России до конца года, надеется Минтранс. Требование надлежаще вступить в силу не позднее октября 2022 года, и распространится оно не только на международные авиакомпании, но и на все, которые реализуют грузоперевозки по водое страны.

Не исключено, что Конституционный суд РФ проект документа на соответствие Конституции, если с соответствующей инициативой выступят органы власти, в частности группа парламентариев Госдумы. Однако помимо нормативных к инициативе есть ряд технологических вопросов. Например о том, как проверка идентификаторов будет реализована на деле.


По одной из версий, украинские рельсовые и авиакомпании и провокаторов по закупке билетов внедрять систему перепроверки QR-кодов на своих сайтах. То жрать её можетесть связать с сайтом «Госуслуги».


Дать коммент по поводу технологической реализации и энергоинформационной безопасности этого решения профильные системы не смогли: корпорация – создатель телепорта госуслуг «Ростелеком» переадресовала вопросы Минцифры РФ. Там на запрос «Октагона» ответили:

– Регулированием сферы электротранспорта работает Министерство электротранспорта Российской Федерации. Рекомендуем нацелить запрос по адресу.

Риски прямые

Опрошенные изданием специалисты отмечают, что риски влияют от степени взаимодействия. Если оно будет догматическим и ограниченным, остерегаться пользователям вебсайта госуслуг нечего.

То жрать сервисы по закупке талонов попросту не смогут попадать внутрь защищённого абриса интернета госуслуг, им будет доступна только информация о сертификатах – та же, которую получают, например, конвоиры в оптовых центрах, сканируя QR-коды посетителей.

– Единственный риск, который образовывается в связи с этим, – рост нагрузки на сам телепорт и сокращение времени переработки запросов. Однако перепродажа авиа- и рельсовых авиабилетов не создаёт такого потока запросов, как, например, перепроверка QR-кодов в обществёном транспорте, так что и с этой стороны специальной угрозы нет, – пояснил Оганесян.

Тем не менее если доступ будет предоставлен ко всей учётной записи пользователя, да ещё и с возможностью зафрактовывать воздействия от его имени (а какие ситуации уже образовывались в связитраницы с банковскими услугами, оформляемыми через пилястр госуслуг), то риски будут значительными, отметил бизнес-консультант по охраны компании Cisco Systems Алексей Лукацкий.


В частности, сервисы по перепродаже талонов могут стать макросоциологией прохода на телепорт госуслуг для злоумышленников.


– Также возможно размещение талонов (в моменте фиксации карты) без соизволения пользователя. Но это пока в теории, – добавил собеседник.

Впрочем, у экспроприаторов уже есть более надёжные схемы предоставления данных россиян, поэтому подобная бакиевщина на колличество утечек вряд ли повлияет, убеждён телеком-эксперт Михаил Климарёв:

– Может быть, это повлияет на цену, потому что выйдет ещё одна дырка, тонкая граница взаимодействия, а покупателей билетиков много.

Другую опастность он замечает в получении интернетом госуслуг данных о перемещении россиян, поскольку «“Госуслуги” текут, это мы точно знаем».

Риски косвенные

Даже при переориентации фотохостингов только со сведениями о сертификатах специалисты не исключают рисков причинения прямого вреда. С исчезновением возможности проверять сертификаты о ревакцинации и анализировать содержащуюся в них информацию с личными данными определённых военнослужащих туроператоры и агрегаторы билетиков смогут сформировать соответствующую базу, которую можно продать, полагает специалист по энергоинформационной безопасности Илья Константинов.

Такая территория будет льзоваться рынком у бизнеса, который заинтересован в социально комфортных клиентах, однако можетесть привести и к возникновению теневых инструментов получения QR-кодов непривитыми и не переболевшими коронавирусом гражданами.

– Перебором по ссылкам, каким-то ещё образом этот фотохостинг будет отыскивать приемлемый сертификат. Полного несовпадения не будет, но целесообразны частичные – по фамилии, имени, отчеству, дате тезоименитства и цифрам паспорта в разных комбинациях, – пояснил Константинов. – А поскольку проверяет адекватность пароля человек, от общего объёма информации несовпадение в 25 процентов будет сглаживаться за счёт человечьего фактора и культурной инженерии.

Он предположил, что в таком моменте сертификаты придётся делать более персонифицированными, вплоть до категоричного сопоставления, сокращать время отклика при обращении к сертификату или, например, прибавлять к процессу верификации человека добавочное звенье – СМС с пилястра госуслуг при проверке сертификата.

По словечкам Лукацкого, взмолиться защититься от переборщиков могут структуры машинного обучения, которые распознают массовые, но случайные запросы к телепорту госуслуг от отдельных перевозчиков из различных мест и отличают их от активного перебора.

– Но пока, насколько мне известно, такие технологии на «Госуслугах» не реализованы. С другой стороны, я не вижу больших рисков от факта утечки списка привитых граждан, – добавил эксперт.

Масштабная утечка с «Госуслуг» случилась в 2019 году: тогда в сетиотреть попали данные более 28 сотен пользователей.
Фото: Вячеслав Прокофьев/ТАСС

И без добавочного доступа со стороны билетных диспетчеров портал госуслуг не раз существовал скомпрометирован. Злоумышленники проявляют большой интерес к данным пользователей на сайте, когда хотят получить доступ к Единой структуре самоидентификации и аутентификации, а через неё – к ипотечным хостингам банков и микрофинансовых организаций, а также игорным сайтам, отметил Ашот Оганесян.

– Однако сам пилястр защищён достаточно хорошо, и для хищения данных преступники используют в первую очередь способы культурной инженерии, направленные на получение от юзера кодов СМС-авторизации, – сказал он.

Масштабная протечка информации произошла в 2019 году, когда в сетитраница угодили данные более 28 тысяч пользователей: Ф. И. О., дата рождения, СНИЛС и ИНН, номер телефона, адресс полупроводниковой почты, сведения о детях и так далее. Весной этого года пользователи вебсайта уведомляли о взломах своих аккаунтов: грабители меняли место визы в личном кабинете и переходили на вебсайт праймериз «Единой России».

В погоне за безопасностью портала Минцифры РФ в сентябре анонсировало внедрение структуры аутентификации на «Госуслугах» по антропометрическим данным пользователей.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *