Мобильное приложение столичных госуслуг для платформы Android позволяло получать доступ к аккаунту гражданина по его номеру телефону. По номеру телефону третьи лица могли получить не только конфиденциальную информацию личного кабинета, но даже внести в нее исправления. Проблему столичного мобильного приложения вскрыли специалисты компании Postuf, после чего технические специалисты ДИТ исправили опасное «недоразумение», пишет РБК.

По данным экспертов, зная только один лишь телефон жителя, посторонние лица могли получить информацию, которую пользователь указал на сайте столичных сервисов: Ф.И.О., e-mail, год рождения, номер полиса ОМС и СНИЛС, список движимого и недвижимого имущества, сведения о наличии загранпаспорта, о детях, учащихся в школах, и др. Имея информацию о номере полиса ОМС и года рождения пациента, через систему ЕМИАС третьи лица могли получить доступ к медицинской тайне: к каким врачам была запись, какие рецепты назначены, в каких больницах и поликлиниках идет обслуживание пациента.

Специалисты выявили, что доступ позволял также внести данные в личных кабинетах о несуществующем имуществе, а также удалить имеющиеся. При этом сам владелец личного кабинета мог даже не догадываться об изменениях, потому портал не высылает гражданам уведомлений о внесенных поправках в личные данные.

Любители «поразвлекаться» с чужими личными сведениями имели возможность добавить в чужой кабинет информацию о якобы имеющемся супруге или детях, внести некорректные данные по счетчикам, влекущие огромные коммунальные выплаты, отменять записи к врачам. 

Между тем, еще в 2019 году ФСБ раскритиковала законопроект о цифровом профиле российских граждан, поскольку посчитала возможной утечку персональных данных из единых баз. В Федеральной службе безопасности предупреждали, что личная  информация может оказаться в свободном доступе. ФСБ раскритиковала законопроект о цифровом профиле, за реализацию которого отвечают ЦБ, Минкомсвязь, Ростелеком.

В письме ФСБ, направленном в Администрацию Президента РФ, к законопроекту была высказана масса претензий: в нем не содержится «конкретных целей, для достижения которых предусматривается обработка персональных данных в предлагаемом объеме», при этом такая обработка «в рамках единой инфраструктуры значительно повышает риски неправомерного сбора и распространения» информации. Подробнее — в материале «ПравозащитникИнфо».