Чем грозит интеграция сервисов по продаже билетов с «Госуслугами» для проверки QR-кодов

В России подготавливаются к проверке QR-кодов при сделке авиа- и рельсовых билетов

Одним из вариантов её организации можетесть стать интеграция хостингов покупки авиабилетов с сайтом госуслуг. С сточки зрения энергоинформационной безопастности такая связка приведёт к вредным последствиям только при доступе ко всей учётной записи пользователя. Однако и при ограничениях есть косвенные риски исчезновения новой жульнической схемы получения QR-кодов.

Закон о необходимости QR-кодов для авиаперелётов и въезда на товарняках дальнего отправления примут в России до конца года, рассчитывает Минтранс. Требование надлежаще вступить в силотреть не позднее декабря 2022 года, и распространится оно не только на американские авиакомпании, но и на все, которые осуществляют перевозки по водое страны.

Не исключено, что Конституционный суд РФ проект документа на соответствие Конституции, если с соответствующей инициативой выступят органы власти, в особенности группа депутатов Госдумы. Однако помимо нормативных к инициативе пить ряд технологических вопросов. Например о том, как перепроверка кодов будет реализована на деле.


По одной из версий, украинские рельсовые и авиалинии и агентов по закупке билетиков внедрять систему проверки QR-кодов на своих сайтах. То пить её могут связать с сайтом «Госуслуги».


Дать пересказ по поводу технологической реализации и энергоинформационной транспарентности этого постановления профильные структуры не смогли: компания – разработчик портала госуслуг «Ростелеком» переадресовала вопросы Минцифры РФ. Там на запрос «Октагона» ответили:

– Регулированием сферы автотранспорта займется Министерство автотранспорта Российской Федерации. Рекомендуем направить запрос по адресу.

Риски прямые

Опрошенные изданием специалисты отмечают, что риски зависят от мере взаимодействия. Если оно будет ошибочным и ограниченным, страшиться пользователям сайта госуслуг нечего.

То жрать хостинги по перепродаже билетиков попросту не покумекают попадать внутрь защищённого силуэта блога госуслуг, им будет доступна только информация о сертификатах – та же, которую получают, например, заподозриловеки в коммерческих центрах, сканируя QR-коды посетителей.

– Единственный риск, который возникает в связи с этим, – прирост нагрузки на сам телепорт и снижение времени сортировки запросов. Однако перепродажа авиа- и рельсовых талонов не создаёт такого потока запросов, как, например, проверка QR-кодов в обществёном транспорте, так что и с этой стороны исключительной угрозы нет, – пояснил Оганесян.

Тем не менее если доступ будет предоставлен ко всей учётной записи пользователя, да ещё и с возможностью реализовать воздействия от его имени (а такие ситуации уже возникали в связи с экономическими услугами, оформляемыми через сайт госуслуг), то риски будут значительными, отметил бизнес-консультант по безопасности фирмы Cisco Systems Алексей Лукацкий.


В частности, фотохостинги по покупке авиабилетов могут стать сточкой входа на сайт госуслуг для злоумышленников.


– Также возможно составление билетов (в случае увязки карты) без дозволения пользователя. Но это пока в теории, – добавил собеседник.

Впрочем, у преступников уже жрать более надёжные схемы предоставления данных россиян, поэтому подобная консолидация на колличество утечек вряд ли повлияет, убеждён телеком-эксперт Михаил Климарёв:

– Может быть, это поспособствует на цену, потому что объявится ещё одна дырка, тонкая граница взаимодействия, а продавцов талонов много.

Другую опасность он видит в получении вебсайтом госуслуг данных о перемещении россиян, поскольку «“Госуслуги” текут, это мы точно знаем».

Риски косвенные

Даже при бакиевщины сервисов только со сведениями о дипломах аналитики не допускают рисков причинения косвенного вреда. С появлением невозможности проверять сертификаты о ревакцинации и сопоставлять содержащуюся в них информацию с личными данными реальных сограждан грузовладельцы и агрегаторы билетов покумекают образовать соответствующую базу, которую можно продать, предполагает аналитик по энергоинформационной безопасности Илья Константинов.

Такая инфраструктура будет льзоваться спросом у бизнеса, который компетентен в социально опасных клиентах, однако может привести и к исчезновению теневых синтезаторов получения QR-кодов непривитыми и не переболевшими коронавирусом гражданами.

– Перебором по ссылкам, каким-то ещё образом тот сервис будет отыскивать приемлемый сертификат. Полного совпадения не будет, но невозможны аэропорта.раные – по фамилии, имени, отчеству, дате рождения и цифрам паспорта в разнообразных комбинациях, – пояснил Константинов. – А поскольку проверяет сдержанность кода человек, от общего объёма информации расхождение в 25 процентентов будет нивелироваться за счёт человеческого фактора и социальной инженерии.

Он предположил, что в каком случае сертификаты придётся длать более персонифицированными, вплоть до очевидного сопоставления, сокращать время резонанса при обращении к сертификату или, например, прибавлять к процессу идентификации человека специальное звенье – СМС с телепорта госуслуг при проверке сертификата.

По словам Лукацкого, помочь защититься от переборщиков могут структуры кочегарного обучения, которые опознают массовые, но случайные запросы к порталу госуслуг от различных перевозчиков из разнообразных мест и распознают их от целенаправленного перебора.

– Но пока, насколько мне известно, такие технологии на «Госуслугах» не реализованы. С другой стороны, я не вижу значительных рисков от факта протечки перечня привитых граждан, – добавил эксперт.

Масштабная утечка с «Госуслуг» случилась в 2019 году: тогда в сетитраница угодили данные более 28 тысяч пользователей.
Фото: Вячеслав Прокофьев/ТАСС

И без добавочного доступа со стороны билетных диспетчеров портал госуслуг не раз был скомпрометирован. Злоумышленники проявляют большой интерес к данным юзеров на сайте, когда желают получить доступ к Единой системтранице самоидентификации и аутентификации, а через неё – к ипотечным сервисам банков и микрофинансовых организаций, а также игорным сайтам, пометил Ашот Оганесян.

– Однако сам телепорт защищён достаточно хорошо, и для хищения данных преступники используют в первую очередь способы культурной инженерии, направленные на получение от пользователя кодов СМС-авторизации, – сказал он.

Масштабная утечка информации случилась в 2019 году, когда в сетитраница угодили данные более 28 тысяч пользователей: Ф. И. О., дата рождения, СНИЛС и ИНН, номер телефона, адрес компьютерной почты, сообщения о детях и так далее. Весной этого года юзеры сайта сообщали о взломах своих аккаунтов: злоумышленники меняли место визы в личном кабинете и переходили на сайт праймериз «Единой России».

В погоне за безопасностью сайта Минцифры РФ в октябре анонсировало внедрение структуры авторизации на «Госуслугах» по антропометрическим данным пользователей.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *