категории | RSS

Белые хакеры в РФ начали получать приглашения найти уязвимости в электронном реестре воинского учёта

1 октября 2024 года профильные источники сообщили, что белые хакеры в РФ начали получать электронные приглашения найти уязвимости в электронном реестре воинского учёта в рамках приватной программы багбаунти.

В рамках этой программы Bug Bounty исследователям ИБ предлагаются выплаты до миллиона рублей за уязвимости в новой системе портала Госуслуг.

В феврале 2023 года Минцифры запустило проект по поиску уязвимостей в «Госуслугах» и других ресурсах электронного правительства. Тестирование доступно на платформе BI.ZONE Bug Bounty.

В конце сентября 2024 года пользователи из разных регионов РФ начали получать уведомления от портала «Госуслуги» о внесении их данных в электронный реестр воинского учёта.

Ранее СМИ сообщили, что осенний призыв 2024 года пройдёт в России по старым правилам, пока полноценно не заработает реестр электронных повесток. До конца года повестки гражданам будут приходить традиционным образом по почте или под расписку по месту жительства, работы или учёбы, а не с помощью новой электронной системы, которая находится в процессе тестирования.

18 сентября 2024 года в России в тестовом режиме заработал ресурс под названием Реестр электронных повесток для военнообязанных. В настоящее время проводится проверка Единого реестра воинского учёта в Рязанской области, Сахалинской области, Республике Марий Эл. Предполагается, что электронные повестки скоро будут приравнены к бумажным, а после отправки электронной повестки призывникам запретят выезжать из страны.

Войти в Реестр повесток для военнообязанных предлагается с помощью учётной записи на Госуслугах через ЕСИА. Она должна быть подтверждённой. Если учётной записи нет, то нужно её зарегистрировать.

Спустя 7 дней после размещения в реестре повестка автоматически считается вручённой. А с момента размещения её в реестре пользователю запрещён выезд из России.

Если не прийти в военкомат в назначенную дату, то также запретят:
• управлять транспортом;
• регистрировать транспорт и недвижимость;
• получать кредиты и займы;
• регистрироваться в качестве ИП или самозанятого.

Обещается, что все ограничения снимут в течение суток после явки в военкомат.

Пользователь Хабра сообщил, что после появления нового ресурса была обнаружена уязвимость, которая позволяет любому авторизованному пользователю посмотреть все личные данные призывников, включая ФИО, дату рождения, прописку, ИИН, СНИЛС, данные водительского удостоверения, паспорта и других документов. В настоящее время эксперты не могут повторить это действия. Непонятно, была ли такая уязвимость изначально в системе или её оперативно исправили.

В Минцифры опровергли сообщения от исследователей, что можно получить персональные данные граждан через уязвимость на новом сайте реестра электронных повесток.

«Минцифры опровергает информацию об уязвимости на сайте реестра электронных повесток, якобы позволяющей получить персональные данные граждан. Данные пользователей портала Госуслуг надёжно защищены. На текущий момент подтверждений утечек или уязвимостей не зафиксировано. Возможности найти информацию о пользователях Госуслуг по ID-номеру нет», — говорится в заявление ведомства.

В Минцифры отметили, что для защиты используется многоэшелонированный подход — несколько дополняющих друг друга мер безопасности. По данным ведомства, авторизация через Госуслуги работает корректно на всех ресурсах.

19 сентября 2024 года в «Ростелекоме» (разработчике информационной системы реестра электронных повесток) исключили утечку данных из Реестра электронных повесток, так как этот ресурс хорошо защищён, по заверению компании. Специалисты «Ростелекома» отвечают за безопасность портала «Госуслуги» и за работу ЕСИА (Единой системы идентификации и аутентификации).

«Доступ к данным в реестре получают только граждане, использующие единую государственную информационную систему авторизации с обязательным дополнительным подтверждением в виде СМС-сообщения на телефонный номер», — пояснили в компании. «Ростелеком» обеспечивает высший уровень информационной безопасности системы и портала госуслуг, а также сохранность персональных данных, уточнили в пресс-службе организации.

Ранее Минцифры представило проект постановления правительства, который позволяет передать единый реестр воинского учёта в ведение Минобороны. Чиновники назвали эти изменения техническими.

В мае 2023 года Минцифры предложило определить сроки создания и введения в эксплуатацию единого реестра воинского учёта. Предлагаемое министерством положение о реестре опубликовано на портале проектов нормативных правовых актов. Из проекта следует, что на первом этапе Минцифры может обеспечить создание и ввод в эксплуатацию реестра с 1 июля (со дня вступления постановления в силу) по 31 декабря 2023 года. Также на этом этапе предусмотрена апробация методических, организационных и технологических условий для ведения и эксплуатации реестра.

Второй этап проходит с 1 января по 31 декабря 2024 года. В ходе этого этапа министерство обеспечивает ввод реестра воинского учёта в эксплуатацию в соответствии с требованиями к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информсистем и дальнейшего хранения содержащейся в их базах данных информации, утверждённых постановлением правительства от 6 июля 2015 года №676, а также его функционирование и методическое обеспечение деятельности военных комиссариатов, осуществляющих внесение в него сведений.

На третьем, заключительном этапе Минобороны России с 1 января 2025 года обеспечивает формирование записей в реестре воинского учёта, а также его дальнейшую эксплуатацию. Оператором реестра также предлагается определить Минобороны.



Источник новости: habr.com

DimonVideo
2024-10-01T20:50:02Z

Здесь находятся
всего 0. За сутки здесь было 0 человек
Яндекс.Метрика