Оплата за квартиру и ПДн

Оплата за квартиру и ПДн
Я всегда оплачивал квитанции за квартиру через интернет-банки различных банков можно сказать не глядя. Сейчас же решил, что этот процесс можно контролировать, благо благодаря нашему третьему Президенту автоматизация идет немереными темпамипотихоньку развивается. Вот, что имеем на сегодня в МСК.

1. Мосэнерносбыт

Личный кабинет здесь . Зарегистрироваться очень просто, достаточно ввести лицевой счет, номер счетчика и e-mail. По почте приходит пароль. Платежный сервис осуществляет этот банк. И никаких проблем. Присутствуют также следующие ПДн: ФИО, адрес, домашний и мобильный телефоны .

2. МГТС

Личный кабинет здесь . Зарегистрироваться несложно. В качестве логина используем номер телефона. Для получения пароля звоним в их контактный центр и называем телефон, адрес и ФИО. Для входа даже есть виртуальная клавиатура. Платежный сервис осуществляет как бы этот банк, так как интерфейс интернет-банка к интерфейсу МГТС не прикручен. Но никаких проблем. Из ПДн присутствует только ФИО и телефон.

3. ЖКУ

Личный кабинет здесь . Однако, зарегистрироваться на сайте и получить пароль в данном случае нельзя, и вот их объяснение почему:

В соответствии с Федеральным законом Российской Федерации от 27 июля 2006 года № 152-ФЗ "О персональных данных " необходимо согласие пользователя (гражданина) на обработку его персональных данных, поэтому при получении доступа к Личному кабинету на данном ресурсе необходимо лично обратиться в ГКУ ИС района с документом, удостоверяющим личность и подписать согласие на обработку персональных данных.

Звоним, уточняем, после чего идем ногами к ним и получаем заветный логин/пароль. Подписывать никакого согласия не потребовалось. Я даже спросил, нужно ли что-то подписывать и получил отрицательный ответ.

Платежный сервис предоставлен этой компанией, причем нерезидентом в России, однако имеющей комплаенс по PCIDSS. Насколько это само по себе безопасно для страны судить не берусь. А вот дальше начинается самое интересное. Привожу скриншот страницы с оплатой:

- нет никакого HTTPS

- присутствуют все поля для ввода критичных карточных данных

- внизу приписка, что шифруется не всё подряд, а только, по-видимому, фрейм с карточными данными.

Может ли быть шифрование части страницы, я не знаю. Но с точки зрения потребителя услуг это полный ахтунг, так как гарантии, что при оплате включается шифрование ноль.

Пользоваться сервисом рекомендую только для контроля единых платежных документов, но ни в коем случае для оплаты.
СКЗИ Замечания
Alt text

Чем страшны "Алхимик", "Евангелие" и "Глубина мудрости”? Подробнее об этом и других новостях кибербезопасности в новом выпуске Security-новостей на нашем Youtube канале.

Евгений Шауро

Блог специалиста по информационной безопасности