Уязвимый Казнет и не только
-Можно ли оформить кредит на человека без его согласия?
Пару лет назад был кейс, с которым я столкнулся. На данный момент уязвимости устранены, поэтому могу описать его.
Описываемая цепочка событий сформировалась не сразу. Она складывалась постепенно, из отдельных эпизодов, которые на первый взгляд никак не были связаны между собой и происходили в разное время.
К сожалению, сохранить все скриншоты не удалось, однако часть материалов всё же осталась.
Хронология событий
Первый случай.
Моему знакомому понадобился мобильный телефон и номер для работы.
Второй случай (примерно через полгода).
Была выполнена регистрация родственника на портале egov.kz
Третий случай (примерно через месяц после второго).
Друг оформлял кредит на одном из сайтов микрофинансовых организаций.
Со временем эти события сложились в единую логическую цепочку. У меня возник вопрос, возможно ли, зная только ИИН человека, оформить кредит без его согласия. Чтобы проверить эту гипотезу, я решил воспроизвести цепочку на практике, с участием ИИН друга.
Первым шагом был приобретён подержанный телефон и новая сим (далее — подставной номер). После установки сим и включения устройства пришло SMS с требованием зарегистрировать номер.
Ввёл необходимую USSD команду, указал ИИН друга и получил сообщение о том, что всё прошло успешно. Система предложила пройти дополнительную идентификацию через приложение, однако это было необязательно, на номере позже появился мобильный интернет 4G и работала связь.
Следом пришло сообщение о том, что устройство зарегистрировано на предыдущего владельца.
Ок, снова набрал USSD команду, ввёл ИИН и получил SMS о том, что регистрация устройства успешно завершена.
По итогам эксперимента новый номер телефона и мобильное устройство оказались привязаны в базе мобильного оператора с ИИН третьего лица.
Вторым шагом, перешёл к регистрации физического лица на портале egov. Используя ИИН друга, ввёл капчу и попал на страницу выбора номера телефона, который можно привязать к учётной записи egov.
Скриншот выбора номера не сохранился, но остался исходный HTML-код страницы, на которой отображались номера телефонов, зарегистрированные на ИИН, с маскировкой формате 7705*****77, 7701*****77...
На втором скриншоте видно, что сервис подтягивает данные из базы мобильного оператора и корректно отображает мой подставной номер.
До:
После:
В результате стало понятно, что система eGov идентифицировала подставной номер телефона, использованный в кейсе, как номер, привязанный к чужому ИИН.
Третьим шагом, используя подставной номер телефона, я попытался зарегистрироваться на сайтах микрофинансовых организаций. В процессе выяснилось, что МФО выполняют запросы к egov для проверки данных и получают подтверждение привязки номера телефона к определённому ИИН.
В результате на двух разных сайтах удалось успешно пройти регистрацию.
Сайт №1
Потребовал прохождение видеоидентификации. Однако этот этап можно было пропустить, просто подменив ответ сервера, после чего процесс оформления кредита продолжался без препятствий.
Сайт №2
Также запросил видеоидентификацию, но на практике она обходилась обычной фотографией (возможно подобный метод часто используют мошенники, например, во время видеозвонков через WhatsApp) После этого оформление кредита можно было продолжить.
В итоге процесс был пройден без прямого участия владельца ИИН.
Дополнительное исследование сервисов, где авторизация работает по схожему сценарию, не проводилось.
Описываемая цепочка событий сформировалась не сразу. Она складывалась постепенно, из отдельных эпизодов, которые на первый взгляд никак не были связаны между собой и происходили в разное время.
К сожалению, сохранить все скриншоты не удалось, однако часть материалов всё же осталась.
Хронология событий
Первый случай.
Моему знакомому понадобился мобильный телефон и номер для работы.
Второй случай (примерно через полгода).
Была выполнена регистрация родственника на портале egov.kz
Третий случай (примерно через месяц после второго).
Друг оформлял кредит на одном из сайтов микрофинансовых организаций.
Со временем эти события сложились в единую логическую цепочку. У меня возник вопрос, возможно ли, зная только ИИН человека, оформить кредит без его согласия. Чтобы проверить эту гипотезу, я решил воспроизвести цепочку на практике, с участием ИИН друга.
Первым шагом был приобретён подержанный телефон и новая сим (далее — подставной номер). После установки сим и включения устройства пришло SMS с требованием зарегистрировать номер.
Ввёл необходимую USSD команду, указал ИИН друга и получил сообщение о том, что всё прошло успешно. Система предложила пройти дополнительную идентификацию через приложение, однако это было необязательно, на номере позже появился мобильный интернет 4G и работала связь.
Следом пришло сообщение о том, что устройство зарегистрировано на предыдущего владельца.
Ок, снова набрал USSD команду, ввёл ИИН и получил SMS о том, что регистрация устройства успешно завершена.
По итогам эксперимента новый номер телефона и мобильное устройство оказались привязаны в базе мобильного оператора с ИИН третьего лица.
Вторым шагом, перешёл к регистрации физического лица на портале egov. Используя ИИН друга, ввёл капчу и попал на страницу выбора номера телефона, который можно привязать к учётной записи egov.
Скриншот выбора номера не сохранился, но остался исходный HTML-код страницы, на которой отображались номера телефонов, зарегистрированные на ИИН, с маскировкой формате 7705*****77, 7701*****77...
На втором скриншоте видно, что сервис подтягивает данные из базы мобильного оператора и корректно отображает мой подставной номер.
До:
После:
В результате стало понятно, что система eGov идентифицировала подставной номер телефона, использованный в кейсе, как номер, привязанный к чужому ИИН.
Третьим шагом, используя подставной номер телефона, я попытался зарегистрироваться на сайтах микрофинансовых организаций. В процессе выяснилось, что МФО выполняют запросы к egov для проверки данных и получают подтверждение привязки номера телефона к определённому ИИН.
В результате на двух разных сайтах удалось успешно пройти регистрацию.
Сайт №1
Потребовал прохождение видеоидентификации. Однако этот этап можно было пропустить, просто подменив ответ сервера, после чего процесс оформления кредита продолжался без препятствий.
Сайт №2
Также запросил видеоидентификацию, но на практике она обходилась обычной фотографией (возможно подобный метод часто используют мошенники, например, во время видеозвонков через WhatsApp) После этого оформление кредита можно было продолжить.
В итоге процесс был пройден без прямого участия владельца ИИН.
Дополнительное исследование сервисов, где авторизация работает по схожему сценарию, не проводилось.
