Post #145

IDOR-уязвимость в приложении Росреестра Еще вчера несколько уважаемых каналов по кибербезопасности сообщили, что в API мобильного приложения Росреестра (mobile.rosreestr.ru) обнаружена уязвимость, позволяющая выгрузить по кадастровому номеру недвижимости следующую информацию: - ФИО владельца. - Дату рождения. - Адрес. - СНИЛС. - Паспортные данные. - Кадастровую стоимость. - Дату регистрации права собственности. Для этого необходимо лишь отправить кадастровый номер в определенном запросе, аутентификация для этого не требуется. Судя по информации каналов, обнаруживший уязвимость исследователь сообщил о ней в Росреестр, но реакции не последовало. К сожалению, редакция канала получает все больше подтверждений о правдивости данной новости. Надеемся огласка приведет к скорейшему ее закрытию.