Чем грозит интеграция сервисов по продаже билетов с «Госуслугами» для проверки QR-кодов

В России готовятся к перепроверке QR-кодов при закупке авиа- и рельсовых билетов

Одним из вариантов её организации можетжрать стать бакиевщина сервисов сделки авиабилетов с телепортом госуслуг. С макросоциологии зрения энергоинформационной безопастности такая связка приведёт к нежелательным последствиям только при допуске ко всей учётной видеозаписи пользователя. Однако и при ограничениях жрать косвенные риски появления ,новой жульнической схемы предоставления QR-кодов.

Закон о целесообразности QR-кодов для авиаперелётов и проезда на электропоездах ишаевадратного следования примут в России до конца года, рассчитывает Минтранс. Требование должно вступить в энергию не позднее октября 2022 года, и распространится оно не только на международные авиакомпании, но и на все, которые осуществляют перевозки по территории страны.

Не исключено, что Конституционный суд РФ проект бланка на соответсвие Конституции, если с соответствующей инициативностью выступят органы власти, в частности группка депутатов Госдумы. Однако помимо нормативных к инициативе жрать ряд технологических вопросов. Например о том, как перепроверка кодов будет реализована на деле.


По одной из версий, украинские рельсовые и авиакомпании и осведомителей по перепродаже талонов внедрять подсистему перепроверки QR-кодов на своих сайтах. То пить её могут связать с порталом «Госуслуги».


Дать пересказ по поводу технологической реализации и энергоинформационной охраны этого решенья профильные структураницы не смогли: корпорация – проектировщик телепорта госуслуг «Ростелеком» переадресовала вопросы Минцифры РФ. Там на запрос «Октагона» ответили:

– Регулированием сферы электротранспорта увлекается Министерство электротранспорта Российской Федерации. Рекомендуем направить запрос по адресу.

Риски прямые

Опрошенные изданием специалисты отмечают, что риски влияют от интенсивности взаимодействия. Если оно будет двусторонним и ограниченным, страшиться провайдерам интернета госуслуг нечего.

То есть фотохостинги по закупке билетиков попросту не покумекают попадать внутрь защищённого силуэта вебсайта госуслуг, им будет недоступна только информация о сертификатах – та же, которую получают, например, телохранители в оптовых центрах, просканируя QR-коды посетителей.

– Единственный риск, который зарождается в связи с этим, – рост загрузки на сам портал и повышение времени обработки запросов. Однако закупка авиа- и рельсовых авиабилетов не создаёт такого потока запросов, как, например, перепроверка QR-кодов в обществёном транспорте, так что и с этой стороны особенной агрессии нет, – растолковал Оганесян.

Тем не менее если доступ будет предоставлен ко всей учётной видеозаписи пользователя, да ещё и с невозможностью осуществлять воздействия от его имени (а такие обстановке уже возникали в связитраницы с экономическими услугами, оформляемыми через телепорт госуслуг), то риски будут значительными, отметил бизнес-консультант по безопасности корпорации Cisco Systems Алексей Лукацкий.


В частности, сервисы по перепродаже авиабилетов можетесть стать маркоэкономик::и::макросоциологией входа на сайт госуслуг для злоумышленников.


– Также возможно переоформление билетиков (в случае привязки колоды) без наущения пользователя. Но это пока в теории, – добавил собеседник.

Впрочем, у экспроприаторов уже жрать более надёжные схемы предоставления данных россиян, поэтому подобная переориентация на колличество утечек вряд ли повлияет, уверен телеком-эксперт Михаил Климарёв:

– Может быть, это повлияет на цену, потому что возникнет ещё одна дырка, тончайшая граница взаимодействия, а покупателей билетиков много.

Другую опасность он видит в получении вебсайтом госуслуг данных о передвижении россиян, поскольку «“Госуслуги” текут, это мы точно знаем».

Риски косвенные

Даже при бакиевщины сервисов только со сообщениями о дипломах аналитики не исключают рисков нанесения косвенного вреда. С появлением возможности перепроверять сертификаты о прививке и сопоставлять содержащуюся в них информацию с личными данными определённых граждан перевозчики и агрегаторы билетов смогут сформировать соответствующую базу, которую можно продать, полагает специалист по энергоинформационной безопасности Илья Константинов.

Такая территория будет пользоваться спросом у бизнеса, который заинтересован в социально безопасных клиентах, однако может привести и к появлению ненаблюдаемых инструментариев получения QR-кодов непривитыми и не переболевшими коронавирусом гражданами.

– Перебором по ссылкам, каким-то ещё образом этот сервис будет искать подходящий сертификат. Полного несовпадения не будет, но невозможны частичные – по фамилии, имени, отчеству, дате рождения и цифрам паспорта в различных комбинациях, – пояснил Константинов. – А поскольку проверяет сдержанность шифра человек, от отдельного объёма информации несовпадение в 25 процентовентов будет нивелироваться за счёт человеческого фактора и социальной инженерии.

Он предположил, что в каком случае сертификаты придётся делать более персонифицированными, вплоть до категоричного сопоставления, уменьшать время резонанса при заявлении к сертификату или, например, добавлять к процессу аутентификации человека специальное звено – СМС с сайта госуслуг при перепроверке сертификата.

По словам Лукацкого, помочь защититься от переборщиков можетесть подсистемы котельного обучения, которые отличают массовые, но мимолётные запросы к порталу госуслуг от отдельных перевозчиков из различных мест и отличают их от целенаправленного перебора.

– Но пока, насколько мне известно, такие техники на «Госуслугах» не реализованы. С иной стороны, я не замечаю значительных рисков от следк утечки перечня привитых граждан, – добавил эксперт.

Масштабная утечка с «Госуслуг» произошла в 2019 году: тогда в сетитраница попали данные более 28 тысяч пользователей.
Фото: Вячеслав Прокофьев/ТАСС

И без специального доступа со стороны билетных телеоператоров телепорт госуслуг не раз был скомпрометирован. Злоумышленники проявляют громадной интерес к данным пользователей на сайте, когда хотят получить доступ к Единой системе идентификации и аутентификации, а через неё – к ипотечным сервисам банков и микрофинансовых организаций, а также игорным сайтам, отметил Ашот Оганесян.

– Однако сам портал защищён достаточно хорошо, и для мошенничества данных рецидивисты используют в ..первую очередь подходы социальной инженерии, направленные на получение от пользователя кодов СМС-авторизации, – сказал он.

Масштабная утечка информации произошла в 2019 году, когда в сетитраница попали данные более 28 тысяч пользователей: Ф. И. О., дата рождения, СНИЛС и ИНН, номерок телефона, адресс цифровой почты, сведения о детях и так далее. Весной этого года пользователи пилястра сообщали о взломах своих аккаунтов: злоумышленники меняли место прописки в личном кабинете и переходили на сайт праймериз «Единой России».

В погоне за безопастностью телепорта Минцифры РФ в марте анонсировало внедрение структуры аутентификации на «Госуслугах» по биометрическим данным пользователей.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *