Сайт Минобороны РФ раскрывает персональные данные военных
Официальный сайт Министерства обороны РФ раскрывает личные данные военнослужащих. Обладая сведениями о дате рождения и личном номере военного, любой желающий может зайти в его «Личный кабинет» и узнать размер его заработной платы, должность и даже место и характер службы. Об обнаруженной уязвимости сообщили журналисты издания «Фонтанка» в материале «Минобороны раскрыло зарплаты военных вероятному противнику» за 5 февраля текущего года.
Проблема связана с отсутствием должной защиты данных на сайте Минобороны. Зайдя в свой «Личный кабинет», военные и гражданские служащие могут получить свои расчетные листы за любой период. Авторизация осуществляется двумя способами: с помощью логина и пароля или даты рождения и личного номера (номера СНИЛС для гражданских сотрудников). Второй способ не требует какой-либо регистрации, и воспользоваться им может любой желающий, в том числе потенциальный противник.
Личный номер и дата рождения указываются на металлическом жетоне военнослужащего и в удостоверении личности. Попав в плен, военный должен сообщить эти данные противнику для получения статуса военнопленного. Вооружившись этими сведениями, противнику не составит труда зайти на сайт Минобороны РФ, авторизоваться в «Личном кабинете» и узнать информацию не только по зарплате пленного, но также о характере службы и выполняемых заданиях (за некоторые из них полагаются определенные надбавки), жилищных условиях, о его включении в единый реестр военнослужащих.
В случае попадания в плен военный не сможет замаскировать свое звание, отмечает «Фонтанка». Летчик не сможет выдать себя за пехотинца или тыловика, что облегчило бы его положение в плену. Получив сведения о зарплате и профессии пленного, противник будет иметь большие преимущества при допросе.
Издание проверило уязвимость в действии и получило доступ к данным. В частности, «Фонтанка» опубликовала сведения по зарплате пилота Романа Филипова, сбитого в Сирии при выполнении задания 3 февраля.
После выхода материала Минобороны обвинило издание в нарушении журналистской этики и закона о персональных данных. Как пояснило ведомство, при регистрации в «Личном кабинете» необходимо установить пароль, однако погибший Филипов не успел этого сделать.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш
