Цифровые пропуска в Москве: и все-таки, профанация⁠⁠

Первый пост на эту тему заминусили – судя по комментариям – свидетели секты строгой самоизоляции, верноподданные государственники и прочая обеспокоенная общественность ну да и пинус с ними, не для них все это затевалось.

Собственно, если кому интересно для чего – исключительно для «пентеста» (проверки на уязвимость) системы выдачи электронных пропусков, который она с треском провалила. Не был, не выходил, не перемещался с недозволенными целями на недозволенные расстояния, поддерживал курс партии, а если и колебался – то только вместе с ним! Чего и вам советую – здоровее будете.

Конечно, полноценная проверка требовала многих тестов с разными вариантами, но за полноценную мне никто не платил, а как разминку для ума, я выбрал просто наиболее жесткий вариант – многоразовый пропуск для поездок на работу. Заказал, получил, никто и не проверил: существует ли такой работодатель, нужны ли ему мои услуги в это нелегкое время, работаю ли я у него… (спойлер: нет, нет и нет).

Исходные данные: полная учетка на московских «Госуслугах» (почти любой желающий может, не выходя из дома, создать ее за 15 минут), достоверные ФИО, постоянная регистрация в Москве, недостоверные название организации и ее ИНН. Вернее, как недостоверные: такая организация с таким ИНН реально существовала, но была ликвидирована несколько лет назад, о чем внесена соответствующая запись в ЕГРЮЛ.

Проверил ли кто-то эти данные? За две недели – никто, пропуск все это время действовал. Откуда я это знаю? Во-первых, на почту приходит уведомление, если пропуск аннулировали. Во-вторых, его действительность можно было проверить на сайте московских госуслуг. В-третьих, 30 апреля для чистоты эксперимента не поленился подойти к полицейским с просьбой проверить пропуск: удивились, проверили, подтвердили, что он действует. Сегодня пробил пропуск через сайт – его еще и продлили автоматом на 4 дня…

Что особенно интересно, данные о транспортной карте я в пропуск не вносил. Во-первых, мне не надо, во-вторых, ищите дурака. Вот серьезно, зачем кому-то знать номер моей транспортной карты? Отследить «целевой» характер моих перемещений во время карантина по ним невозможно: никто кроме меня и работодателя не знает, откуда и куда я должен ездить по работе. А вот провести анализ перемещений пользователя карты, причем и ретроспективный тоже – как два пальца. И тут легким движением руки, подписывающей незаконные постановления, под видом имитации борьбы с распространением заразы безымянная транспортная карта становится именной, привязанной к конкретному ФИО.

Кому и зачем это понадобилось – кровавой гэбне или жуликами-маркетологам – этого я не знаю, но есть о чем задуматься. Впрочем, лишить излишне любопытных граждан доступа к информации о моих прошлых и будущих перемещениях проще простого: на время карантина покупается еще одна транспортная карта, которая после его снятия сдается обратно в кассы Мосгортранса. Лососните тунца, любители big data.

Что в сухом осадке? Любой желающий мог не заморачиваться, как я, а просто найти организацию из перечня тех, кому разрешено работать во время карантина, зайти на ее сайт, найти там ее официальное наименование и ИНН, указать их в заявке на многоразовый пропуск, гулять по Москве и области, не боясь санкций, и разносить чуму коронавирус. Profit (или нет, в случае летального исхода)!

Ах да, еще в сухом осадке бюджетное бабло, списанное на разработку и поддержание пропускной системы, которую способен обойти даже школьник, но кто считает деньги в условиях чрезвычайной ситуации? Это даже как-то неприлично, не говоря уже о том, что непатриотично…