IDOR-уязвимость в приложении Росреестра
Еще вчера несколько уважаемых каналов по кибербезопасности сообщили, что в API мобильного приложения Росреестра (mobile.rosreestr.ru) обнаружена уязвимость, позволяющая выгрузить по кадастровому номеру недвижимости следующую информацию:
- ФИО владельца.
- Дату рождения.
- Адрес.
- СНИЛС.
- Паспортные данные.
- Кадастровую стоимость.
- Дату регистрации права собственности.
Для этого необходимо лишь отправить кадастровый номер в определенном запросе, аутентификация для этого не требуется.
Судя по информации каналов, обнаруживший уязвимость исследователь сообщил о ней в Росреестр, но реакции не последовало.
К сожалению, редакция канала получает все больше подтверждений о правдивости данной новости. Надеемся огласка приведет к скорейшему ее закрытию.
Еще вчера несколько уважаемых каналов по кибербезопасности сообщили, что в API мобильного приложения Росреестра (mobile.rosreestr.ru) обнаружена уязвимость, позволяющая выгрузить по кадастровому номеру недвижимости следующую информацию:
- ФИО владельца.
- Дату рождения.
- Адрес.
- СНИЛС.
- Паспортные данные.
- Кадастровую стоимость.
- Дату регистрации права собственности.
Для этого необходимо лишь отправить кадастровый номер в определенном запросе, аутентификация для этого не требуется.
Судя по информации каналов, обнаруживший уязвимость исследователь сообщил о ней в Росреестр, но реакции не последовало.
К сожалению, редакция канала получает все больше подтверждений о правдивости данной новости. Надеемся огласка приведет к скорейшему ее закрытию.