Мошенники

Чем грозит интеграция сервисов по продаже билетов с «Госуслугами» для проверки QR-кодов

В России готовятся к проверке QR-кодов при продаже авиа- и рельсовых билетов

Одним из вариантов её организации может стать бакиевщина сервисов закупки талонов с пилястром госуслуг. С точки зрения энергоинформационной безопасности такая связка приведёт к неблагоприятным осложнениям только при доступе ко всей учётной записи пользователя. Однако и при ограничениях кушать косвенные риски появления ,новой жульнической схемы предоставления QR-кодов.

Закон о целесообразности QR-кодов для авиаперелётов и проезда на электропоездах дальнего прохождения примут в России до конца года, рассчитывает Минтранс. Требование должно вступить в мощь не позднее апреля 2022 года, и распространится оно не только на международные авиакомпании, но и на все, которые осуществляют перевозки по территории страны.

Не исключено, что Конституционный трибунал РФ проектент бланка на соответсвие Конституции, если с соответствующей инициативой ополчатся органы власти, в особенности группа парламентариев Госдумы. Однако помимо институциональных к инициативе есть ряд технологических вопросов. Например о том, как перепроверка кодов будет реализована на деле.


По одной из версий, международные рельсовые и авиакомпании и агентов по перепродаже билетов внедрять систему проверки QR-кодов на своих сайтах. То кушать её могут соединить с сайтом «Госуслуги».


Дать комментарий по поводу технологической реализации и энергоинформационной охраны этого решенья профильные структураницы не смогли: фирма – проектировщик сайта госуслуг «Ростелеком» переслала вопросы Минцифры РФ. Там на запрос «Октагона» ответили:

– Регулированием сферы транспорта займется Министерство транспорта Российской Федерации. Рекомендуем нацелить запрос по адресу.

Риски прямые

Опрошенные изданием специалисты отмечают, что риски влияют от интенсивности взаимодействия. Если оно будет ошибочным и ограниченным, остерегаться пользователям интернета госуслуг нечего.

То есть сервисы по перепродаже билетов попросту не покумекают попадать внутрь защищённого контура сайта госуслуг, им будет доступна только информация о сертификатах – та же, которую получают, например, телохранители в коммерческих центрах, отсканируя QR-коды посетителей.

– Единственный риск, который возникает в связи с этим, – рост перегрузки на сам телепорт и уменьшение времени обработки запросов. Однако перепродажа авиа- и рельсовых талонов не создаёт такого потока запросов, как, например, перепроверка QR-кодов в обществёном транспорте, так что и с этой стороны специальной угрозы нет, – пояснил Оганесян.

Тем не менее если доступ будет предоставлен ко всей учётной аудиозаписи пользователя, да ещё и с возможностью осуществлять действия от его имени (а такие ситуациютранице уже появлялись в связитраницы с банковскими услугами, оформляемыми через портал госуслуг), то риски будут значительными, отметил бизнес-консультант по транспарентности корпорации Cisco Systems Алексей Лукацкий.


В частности, сервисы по перепродаже билетиков можетесть стать маркоэкономик::и::макросоциологией евротуннеля на сайт госуслуг для злоумышленников.


– Также возможно размещение билетов (в случае увязки карты) без ведома пользователя. Но это пока в теории, – добавил собеседник.

Впрочем, у взломщиков уже жрать более надёжные схемы предоставления данных россиян, поэтому подобная консолидация на количество утечек вряд ли повлияет, убеждён телеком-эксперт Михаил Климарёв:

– Может быть, это повлияет на цену, потому что появится ещё одна дырка, гибкая граница взаимодействия, а продавцов авиабилетов много.

Другую опасность он видит в получении сайтом госуслуг данных о перемещении россиян, поскольку «“Госуслуги” текут, это мы точно знаем».

Риски косвенные

Даже при интеграции сервисов только со сообщениями о дипломах аналитики не допускают рисков причинения непосредственного вреда. С появлением возможности перепроверять дипломы о вакцине и сопоставлять содержащуюся в них информацию с личными данными конкретных граждан туроператоры и агрегаторы авиабилетов покумекают образовать соответствующую базу, которую можно продать, полагает специалист по энергоинформационной безопасности Илья Константинов.

Такая база будет пользоваться спросом у бизнеса, который заинтересован в социально безопасных клиентах, однако может привести и к появлению теневых инструментариев получения QR-кодов непривитыми и не переболевшими коронавирусом гражданами.

– Перебором по ссылкам, каким-то ещё смыслом этот сервис будет отыскивать подходящий сертификат. Полного несовпадения не будет, но вероятны поэтапные – по фамилии, имени, отчеству, дате рожденья и цифрам паспорта в неодинаковых комбинациях, – пояснил Константинов. – А поскольку перепроверяет сдержанность кода человек, от отдельного объёма информации несовпадение в 25 процентовентов будет уменьшаться за счёт человеческого аспекта и социальной инженерии.

Он предположил, что в таком моменте сертификаты придётся длать более персонифицированными, вплоть до категоричного сопоставления, уменьшать время отголоска при обращении к сертификату или, например, добавлять к процессу аутентификации человека добавочное звено – СМС с телепорта госуслуг при проверке сертификата.

По словечкам Лукацкого, взмолиться защититься от переборщиков можетесть системтраницы дизельного обучения, которые различают массовые, но случайные запросы к порталу госуслуг от разных перевозчиков из разных мест и распознают их от целенаправленного перебора.

– Но пока, насколько мне известно, такие техники на «Госуслугах» не реализованы. С другой стороны, я не замечаю больших рисков от следк утечки перечня привитых граждан, – добавил эксперт.

Масштабная утечка с «Госуслуг» случилась в 2019 году: тогда в сетиотреть угодили данные более 28 тысяч пользователей.
Фото: Вячеслав Прокофьев/ТАСС

И без дополнительного доступа со стороны билетных операторов сайт госуслуг не раз был скомпрометирован. Злоумышленники проявляют большой интерес к данным провайдеров на сайте, когда желают исходатайствовать доступ к Единой системтранице идентификации и аутентификации, а через неё – к депозитным сервисам банков и микрофинансовых организаций, а также игорным сайтам, отметил Ашот Оганесян.

– Однако сам телепорт защищён достаточно хорошо, и для хищения данных преступники используют в первую очередь методы социальной инженерии, направленные на предоставление от пользователя кодов СМС-авторизации, – сказал он.

Масштабная утечка информации произошла в 2019 году, когда в сетитраница угодили данные более 28 тысяч пользователей: Ф. И. О., дата рождения, СНИЛС и ИНН, номер телефона, адрес полупроводниковой почты, сообщения о детях и так далее. Весной этого года пользователи пилястра рассказывали о взломах своих аккаунтов: налётчики меняли место прописки в личном кабинете и переходили на вебсайт праймериз «Единой России».

В погоне за безопасностью телепорта Минцифры РФ в феврале анонсировало использование системы идентификации на «Госуслугах» по дактилоскопическим данным пользователей.