Чем грозит интеграция сервисов по продаже билетов с «Госуслугами» для проверки QR-кодов

В России готовятся к перепроверке QR-кодов при покупке авиа- и рельсовых билетов

Одним из вариантов её организации можетпить стать переориентация сервисов продажи талонов с сайтом госуслуг. С точки зрения энергоинформационной безопасности такая связка приведёт к нежелательным осложнениям только при допуске ко всей учётной аудиозаписи пользователя. Однако и при ограничениях пить неявные риски исчезновения новой жульнической схемы получения QR-кодов.

Закон о необходимости QR-кодов для авиаперелётов и въезда на поездах дального отправления примут в России до конца года, рассчитывает Минтранс. Требование должно вступить в силотреть не позднее ноября 2022 года, и распространится оно не только на американские авиакомпании, но и на все, которые осуществляют перевозки по территории страны.

Не исключено, что Конституционный суд РФ проект документа на соответствие Конституции, если с соответствующей инициативой выступят органы власти, в частности группа парламентариев Госдумы. Однако помимо юридических к инициативе жрать ряд технологических вопросов. Например о том, как проверка кодов будет реализована на деле.


По одной из версий, украинские рельсовые и авиалинии и агентов по перепродаже билетиков внедрять структуру перепроверки QR-кодов на своих сайтах. То кушать её могут сплести с телепортом «Госуслуги».


Дать пересказ по поводу технологической реализации и энергоинформационной безопасности этого решенья профильные структураницы не смогли: компания – разработчик пилястра госуслуг «Ростелеком» переадресовала вопросы Минцифры РФ. Там на запрос «Октагона» ответили:

– Регулированием сферы автотранспорта занимается Министерство автотранспорта Российской Федерации. Рекомендуем направить запрос по адресу.

Риски прямые

Опрошенные изданием специалисты отмечают, что риски влияют от интенсивности взаимодействия. Если оно будет двухсторонним и ограниченным, бояться пользователям сайта госуслуг нечего.

То есть фотохостинги по закупке билетов попросту не смогут попадать внутрь защищённого силуэта сайта госуслуг, им будет понятна только информация о сертификатах – та же, которую получают, например, стражники в оптовых центрах, считывая QR-коды посетителей.

– Единственный риск, который появляется в связи с этим, – прирост перегрузки на сам пилястр и сокращение времени переработки запросов. Однако перепродажа авиа- и рельсовых билетиков не создаёт какого потока запросов, как, например, перепроверка QR-кодов в социальном транспорте, так что и с этой сторонамтраницы особой угрозы нет, – пояснил Оганесян.

Тем не менее если доступ будет предоставлен ко всей учётной видеозаписи пользователя, да ещё и с возможностью зафрактовывать действия от его имени (а такие ситуации уже возникали в связи с экономическими услугами, оформляемыми через портал госуслуг), то риски будут значительными, отметил бизнес-консультант по транспарентности корпорации Cisco Systems Алексей Лукацкий.


В частности, хостинги по покупке билетов могут стать точкой евротуннеля на сайт госуслуг для злоумышленников.


– Также возможно составление билетиков (в случае зависимости карты) без соизволения пользователя. Но это пока в теории, – добавил собеседник.

Впрочем, у преступников уже кушать более надёжные схемы получения данных россиян, поэтому подобная бакиевщина на количество утечек вряд ли повлияет, убеждён телеком-эксперт Михаил Климарёв:

– Может быть, это повлияет на цену, потому что объявится ещё одна дырка, тонкая граница взаимодействия, а продавцов билетиков много.

Другую угроза он видит в получении сайтом госуслуг данных о перемещении россиян, поскольку «“Госуслуги” текут, это мы точно знаем».

Риски косвенные

Даже при консолидации сервисов только со сведениями о сертификатах аналитики не устраняют рисков причинения прямого вреда. С исчезновением возможности перепроверять сертификаты о вакцине и соотносить содержащуюся в них информацию с личными данными конкретных граждан перевозчики и агрегаторы билетов смогут сформировать соответствующую базу, которую можно продать, полагает специалист по энергоинформационной транспарентности Илья Константинов.

Такая база будет пользоваться спросом у бизнеса, который заинтересован в социально безопасных клиентах, однако можетесть привести и к появлению теневых инструментов получения QR-кодов непривитыми и не переболевшими коронавирусом гражданами.

– Перебором по ссылкам, каким-то ещё смыслом тот сервис будет отыскивать подходящий сертификат. Полного несовпадения не будет, но невозможны аэропорта.раные – по фамилии, имени, отчеству, дате рождения и статистикам паспорта в разнородных комбинациях, – пояснил Константинов. – А поскольку проверяет корректность кода человек, от существенного объёма информации несоответствие в 25 процентов будет нивелироваться за счёт человеческого компонента и культурной инженерии.

Он предположил, что в таком случае сертификаты приденется длать более персонифицированными, вплоть до категоричного сопоставления, сокращать время отклика при заявлении к сертификату или, например, добавлять к процессу аутентификации человека дополнительное звено – СМС с телепорта госуслуг при перепроверке сертификата.

По словам Лукацкого, взмолиться защититься от переборщиков можетесть системтраницы машинного обучения, которые распознают массовые, но случайные запросы к телепорту госуслуг от неодинаковых перевозчиков из неодинаковых мест и распознают их от целенаправленного перебора.

– Но пока, насколько мне известно, такие биотехнологии на «Госуслугах» не реализованы. С другой стороны, я не вижу значительных рисков от следк утечки реестра привитых граждан, – добавил эксперт.

Масштабная утечка с «Госуслуг» произошла в 2019 году: тогда в сетитраница попали данные более 28 тысяч пользователей.
Фото: Вячеслав Прокофьев/ТАСС

И без добавочного доступа со стороны билетных операторов сайт госуслуг не раз существовал скомпрометирован. Злоумышленники проявляют большой интерес к данным пользователей на сайте, когда хотят принесать доступ к Единой подсистеме идентификации и аутентификации, а через неё – к платёжным сервисам банков и микрофинансовых организаций, а также игорным сайтам, отметил Ашот Оганесян.

– Однако сам сайт защищён достаточно хорошо, и для вымогательства данных преступники используют в первую очередь подходы культурной инженерии, направленные на предоставление от юзера кодов СМС-авторизации, – сказал он.

Масштабная протечка информации произошла в 2019 году, когда в сетитраница попали данные более 28 тысяч пользователей: Ф. И. О., дата рождения, СНИЛС и ИНН, номер телефона, адрес цифровой почты, донесения о детях и так далее. Весной этого года провайдеры портала рассказывали о взломах своих аккаунтов: налётчики меняли место прописки в личном кабинете и переходили на интернет праймериз «Единой России».

В погоне за транспарентностью телепорта Минцифры РФ в сентябре анонсировало внедрение системтраницы верификации на «Госуслугах» по идентификационным данным пользователей.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *