Доступ в ЕМИАС для мошенников, без регистрации и смс
Сегодня моему отцу звонили мошенники и, видимо в отместку за то, что он не повёлся на развод восстановления доступа к госуслугам, отменили назначение на медицинские исследования. Просто ему пришло смс от ЕМИАС о том, что назначение отменено.
В процессе выяснения обстоятельств случившегося мной обнаружено, что на сайте ЕМИАС есть возможность, позволяющая любому человеку получить доступ к медицинским данным любого пациента, созданию, изменению и отмене приемов к врачу, просмотр рецептов, прикреплений к страховым и поликлиникам. Для этого достаточно указать номер медицинского страхования и дату рождения, при этом никаких дополнительных мер безопасности не предусмотрено, ни пароля, ни смс, данные просто сразу открываются.
Попытка связаться со службой поддержки ЕМИАС успехом не увенчалась, там мне сказали, что не занимаются подобными вопросами и меня отправили на номер 115 (поддержка госуслуг), а там отправили обратно в ЕМИАС, сказав, что они тоже этим не занимаются. Попытка связаться с ИТ департаментом Москвы тоже понимания не встретила, там мне предложили направить сообщение по электронной почте и ждать ответа до 30 дней.
Обращаюсь к силе пикабу, кто связан с профильными ведомствами, пожалуйста донесите до них эту информацию. Я считаю, что дело серьёзное, это медицинская тайна так-то, но оказывается она доступна любому.
На приведенных скринах можно увидеть как это работает
Главная страница, вводим номер страхования и дату рождения
Вуаля, мы в системе
Вот текущие записи, можно перенести или удалить
Рецептов не хотите?!
А вот тут можно узнать куда человек прикреплен, страховые, поликлиники.
Информационная безопасность IT
1.5K поста25.6K подписчика
Правила сообщества
Обязательно к прочтению для авторов:
1. Если вы добавляете пост, утверждающий об утечке данных или наличии дыр в системе, предоставьте ссылку на источники или технически подкованное расследование. Посты из разряда "Какой-то банк слил данные, потому что мне звонили мошенники" будут выноситься в общую ленту.
2. Все вопросы "Как обезопасить сервер\приложение\устройство" - в лигу "Компьютер это просто".
Обязательно к прочтению для всех:
Добавление ссылки разрешено если она не содержит описание коммерческих (платных) продуктов и/или идентификаторов для отслеживания перехода и для доступа не нужен пароль или оплата в т.ч. интернет-ресурсы, каналы (от 3-х тематических видео), блоги, группы, сообщества, СМИ и т.д.
Запрещены политические holy wars.
По решению модератора или администратора сообщества пользователь будет забанен за:
1. Флуд и оскорбление пользователя, в т.ч. провокация спора, флуда, холивара (высказывание без аргументации о конкретной применимости конкретного решения в конкретной ситуации), требование уже данного ответа, распространение сведений порочащих честь и репутацию, принижающих квалификацию оппонента, переходы на личности.
2. Публикацию поста/комментария не соответствующего тематике сообщества, в том числе обсуждение администраторов и модераторов сообщества, для этого есть специальное сообщество.
3. За обвинение в киберпреступной деятельности.
4. За нарушение прочих Правил Пикабу.