Счета киевлян за коммунальные услуги попали в открытый доступ

В сервисе онлайн-оплаты коммунальных услуг ГИВЦ (ГІОЦ) обнаружили уязвимость: по определенной ссылке были доступны (на момент выхода материала уязвимость закрыта) все счета на оплату коммунальных услуг в городе Киеве.

Перебором числа в ссылке вида https://www.gioc.kiev.ua/XXX/XXX/XXX_id:999999 можно было получить: 

• ФИО владельца квартиры; 
• размер квартиры в квадратных метрах; 
• количество человек, прописанных в квартире; 
• стоимость каждого из платежей по этому адресу; 
• платежеспособность владельца – есть ли задолженность, оформлена ли субсидия и т.д.; 
• а также какими провайдерами интернет и ТВ пользуется данный человек.

Сервис ГИВЦ является популярным сервисом: например, еще в сентябре 2017-го года через данный сайт был проведен один миллион платежей. 

Пользователи в комментариях к посту отметили, что данной уязвимости подвержены не только жители Киева, а и жители Одессы, так как киевский сервис ГИВЦ основан именно на одесском сервисе ГЕРЦ.

Также пользователи указывают, что многие газовые компании формируют номера счетов аналогичным образом: 15001, 15002 и т.д., как и провайдеры кабельного ТВ и интернет. Поэтому точно так же, простым перебором, можно получать информацию и в других сервисах. 

Затронутая проблема — возможность получить информацию о жителях — опасна несколькими моментами: 

1. Получение достаточно большого количества информации о владельце квартиры (ФИО, размеры квартиры, количество прописанных, информация о начислениях и платежах, какими провайдерами пользуются в данной квартире); 
2. Мошенники могут выбирать адреса с задолженностью и представляться коллекторами: “Заплатите хотя бы часть, иначе отключим прямо сейчас свет/газ/воду”; 
3. Недоброжелатели могут указывать ошибочные показатели счетчиков как у случайных пользователей, так и у соседей. Особенно это может быть неприятно, учитывая необходимость в дальнейших исправлениях таких показателей реальными владельцами. 

Подобная проблема была обнаружена автором данного материала в коммунальных сервисах для Одессы, Киева, Белгорода-Днестровского, Рени, Черноморска и Южного, два года назад — в январе 2017-го. А подробный разбор проблемы был опубликован на AIN.UA в мае 2018-го. После выхода материала проблему добавления чужих квартир исправили путем требования обязательного ввода уникального кода с бумажной квитанции.

По состоянию на момент публикации статьи, уязвимость в возможности перебора чужих квитанций исправлена аналогичным способом: теперь требуется ввести ключ авторизации, что исключает возможность получать информацию о чужих квартирах, не имея к ним доступа:

Обновлено: В редакцию AIN.UA поступил комментарий от представителя Департамента информационно-комуникационных технологий КГГА, в котором заверили, что счета больше не находятся в свободном доступе.

«В счетах-сообщениях на оплату жилищно-коммунальные и другие услуги действительно есть возможность проводить считывания QR-кода. Функциональность была введена с целью улучшения сервиса оплаты и быстрого просмотра информации в личном кабинете сайта.

Мы благодарим сознательных граждан, которые обратили внимание на потенциальную уязвимость. Поэтому в качестве дополнительной меры защиты введено ограничение на количество запросов с одного IP-адреса и дополнительную проверку с помощью авторизационного ключа».

Также в КГГА заверили, что не фиксировано случаев утечки персональных данных через счета-сообщения.