Что значит отображать сообщение на портале госуслуг в открытом доступе
Дыра на портале «Госуслуги»: внутренние документы лежат в открытом доступе
Специалист по безопасности Александр Литреев рассказал об уязвимости на портале «Госуслуги».
Оказалось, что внутренние документы чиновников с их персональной информацией открыты для свободного доступа. «Абсолютно _ВСЯ_ база рабочих документов, касающихся интеграции лежит в открытом доступе, — пишет Литреев. — Она никак не зашифрована, не имеет никакой авторизации/аутентификации и, в принципе, скачать её может абсолютно кто угодно».
Посмотреть любой документ в базе можно по прямой ссылке такого вида:
где XXXXX — порядковый номер документа в системе.
Например, по запросу /files/get/10484 скачивается таблица Excel под названием МВ ответственные.xlsx, в которой содержится информация обо всех лицах, ответственных за интеграцию. В списке указаны ФИО, должность, служебные и личные мобильные телефоны, адрес электронной почты для связи по вопросам интеграции.
Александр Литреев напоминает, что на разработку портала «Госуслуги» было потрачено более 495 миллионов рублей. Ресурс позиционируется как централизованный сервис взаимодействия с различными государственными службами и органами — с помощью него можно оформить паспорт/загранпаспорт, водительское удостоверение, получить справку об отсутствии судимости и многое другое. По данным Минкомсвязи, по состоянию на апрель 2019 года на портале были зарегистрированы 86,5 млн россиян.
Для интеграции данных из разных источников на портале организована Система Межведомственного Электронного Взаимодействия (СМЭВ), через которую подключаются все региональные и федеральные органы. Именно эта часть портала не защищена. Прямо сейчас документы с портала http://smev.gosuslugi.ru/ находятся в открытом доступе.
«Естественно, не составляет никакого труда написать скрипт, который обеспечит перебор всех таких адресов и выгрузит все такие документы, что уже успели сделать энтузиасты из одного соседнего государства», — пишет Литреев.
Хакерская группа THack3forU выложила на Github питоновский скрипт для поиска валидных URL с документами.
Как защитить свой аккаунт на «Госуслугах»
Наши персональные данные на портале «Госуслуги» находятся под надежной защитой: их никому не передают без нашего согласия. Но к их безопасности стоит подходить серьезно, даже если вы пользуетесь ими не очень часто. Ведь иногда злоумышленники могут получить доступ к вашему почтовому ящику или даже взломать личный аккаунт. Чаще всего это происходит из-за низкого уровня защиты и неосторожных действий самого владельца учетной записи.
Однако необходимо помнить, что безопасность определяется не только уровнем защиты портала, но и уровнем защиты вашего рабочего места, с которого осуществляется доступ. И если злоумышленник получит доступ к вашему аккаунту на «Госуслугах», он сможет действовать от вашего имени не только на самом портале, но и за его пределами. Речь идет не о мелких пакостях, а об очень серьезных вещах. Например, на вас могут оформить кредит. Или зарегистрировать на ваше имя фирму, проводящую сомнительные операции. Или распорядиться вашей собственностью на свое усмотрение.
Как защитить свой аккаунт
Портал «Госуслуги» предлагает несколько инструментов для защиты вашего аккаунта. Они также позволяют вам вовремя узнать о попытке взлома.
1. Используйте уникальный пароль
«Госуслуги» требуют от вас придумать длинный и сложный пароль, чтобы его было труднее подобрать. Однако сервис никак не может проверить его уникальность. Если вы воспользуетесь тем же самым паролем, которым защитили электронную почту и еще десяток аккаунтов на других сервисах, то утечка данных с любого из них поставит ваши документы под угрозу.
Поэтому для такого важного аккаунта, как на «Госуслугах», не только рекомендуется, но и жизненно необходимо придумать уникальный пароль. А чтобы вы не боялись его забыть, есть несколько советов по составлению и запоминанию паролей. Больше идей можно найти в статье про надежные пароли. И, конечно, всегда можно подстраховаться и сохранить его в менеджере паролей.
2. Включите оповещения о входе в ваш аккаунт Госуслуг
Если вы включите оповещения, то после каждого успешного входа вам придет письмо на электронную почту. Так вы узнаете, если кто-либо, кроме вас, получит доступ к аккаунту, и сможете своевременно поменять пароль. Чтобы включить уведомления о входе:
3. Задайте контрольный вопрос
Контрольный вопрос — это дополнительная мера защиты от попыток посторонних сменить пароль от вашего аккаунта. Но стоит помнить, что контрольный вопрос не защитит вас, если ответ на него легко угадать или найти в Интернете. Важно, чтобы его знали только вы, причем могли в любой момент его вспомнить.
Чтобы задать контрольный вопрос:
4. Включите двухэтапную проверку входа
После включения двухэтапной проверки, чтобы войти в вашу учетную запись, злоумышленнику потребуется ввести не только пароль, но и одноразовый SMS-код, который придет на ваш телефон. Таким образом, вы будете в относительной безопасности, даже если ваш пароль украдут. Заодно вы вовремя узнаете о том, что пароль попал не в те руки, и сможете оперативно сменить его.
Чтобы включить двухэтапную проверку:
5. Включите вход с помощью электронной подписи
Если вы пользуетесь квалифицированной электронной подписью, можно применять ее и для входа в аккаунт. Этот метод надежнее SMS-кодов: перехватить сообщение с одноразовым кодом проще, чем подделать подпись.
Если электронной подписи у вас нет, безопаснее отказаться от этой опции: без ЭЦП она бесполезна, а включая ее, вы теряете возможность получать коды через SMS.
Что еще важно знать
Как видите, настроек безопасности на «Госуслугах» не так много, и разобраться в них совсем не сложно. Кроме этого, чтобы защитить свои данные следуйте простым рекомендациям:
Что значит отображать сообщение на портале госуслуг в открытом доступе
Как подключить уведомления в личном кабинете Госуслуг?
Итак, вы зарегистрировались на ЕПГУ РФ и получили подтверждение учетной записи.
Для этого входим в личный кабинет Госуслуг под своей учетной записью и далее по инструкции:
Уведомления от ФССП подключены по умолчанию, посмотреть возможность подключения других ведомств можно во вкладке «Какие уведомления от органов государственной власти я могу получать через портал Госуслуг?». Для включения почты от органов государственной власти вам нужно указать фактический адрес в личном кабинете, на который поступают (оффлайн) бумажные письма сейчас, и принять условия пользовательского соглашения.
Какие уведомления, письма и сообщения будут приходить на электронную почту через Госуслуги?
Полный перечень писем и сообщений, которые приходят на ваш Email можно посмотреть (настроить или отключить) на странице подключения уведомлений в личном кабинете Госуслуг. Основные виды писем и уведомлений:
Вопросы по вашим заявлениям решаются в том государственном ведомстве, на которое наложена соответственная функция. При движении заявления от ЕПГУ будут приходить уведомления о статусе заявления, например, «Заявление направлено в Фонд Социального Страхования» или «Заявление получено ведомством» и т.п.
Стандартные статусы при проведении любых платежей: «Платеж прошел» и т.д.
Сервис, через который приходят уведомления и заказные письма от органов государственной власти в электронном виде. Письма хранятся в разделе Госпочта, их нельзя удалить и, соответственно, потерять. Для получения Госпочты необходимо указание фактического почтового адреса, на который приходят бумажные письма. Доступно только с подтвержденной учетной записью. По умолчанию к личному кабинету подключена ФССП, от этой службы приходят сообщения о задолженностях.
Ответы на ваши вопросы при проблемах, возникающих с использованием личного кабинета и ЕПГУ в целом (рекомендуем обращаться в службу поддержки портала).
Источники: Официальный сайт государственных услуг РФ https://www.gosuslugi.ru/
©2020 | 400 люкс. Все права защищены.
Пользователи «Госуслуг» сообщают о взломах. Как защитить свой аккаунт
Мошенники придумали очередной способ украсть личные данные россиян. В соцсетях появились жалобы на взлом аккаунтов на портале Госуслуг. Мы узнали у экспертов, чем рискуют те, чей аккаунт взломали, и как защитить свою учётную запись на «Госуслугах».
Что случилось
12 мая неизвестные зашли на «Госуслуги» под именем москвички Дианы Забелиной. Она узнала об этом из СМС от портала с текстом: «Ваш номер телефона был изменён и не может использоваться для входа». После этого девушка сразу зашла на сайт и поменяла номер телефона и пароль, рассказала сама Диана на vc.ru.
Тут же пришло ещё одно сообщение о смене номера телефона. Диана опять изменила номер на свой. Параллельно она написала на портале в чат оператору. Через две минуты увидела ответ, написанный от своего же имени: «Выхожу из системы, поменяйте пароль». Ещё через 10 минут девушка дозвонилась до «Госуслуг», попросила заблокировать аккаунт, завершить все активные сессии или «сделать хоть что-нибудь». Ей ответили, что ничего сделать не могут, уточнив, что сессия у мошенника прервётся автоматически через 24 часа.
В личном кабинете Диана Забелина увидела, что неизвестный зашёл в её аккаунт через систему «Центр обработки персональных данных Всероссийской политической партии «Единая Россия»», к которой она никакого отношения не имеет. В разделе «Выданные разрешения» девушка обнаружила, что она якобы выдала центру разрешение на использование всех данных с «Госуслуг».
В комментариях к материалу несколько человек рассказали, что попали в такую же ситуацию.
Аналогичную историю на портале «ЯПлакалъ» рассказал житель Орла. Схема — один в один: те же СМС о смене номера телефона и разрешение на использование информации, якобы выданное центру обработки данных «Единой России».
Зачем взламывают «Госуслуги»
Зачем неизвестные заходят под чужими аккаунтами и оформляют разрешения на использование персональных данных политической партией — сложный вопрос, говорит бизнес-консультант по безопасности Cisco Systems Алексей Лукацкий.
Версии минимум три:
Что могут сделать мошенники, зная данные с «Госуслуг»
На портале Госуслуг есть все персональные данные — сведения о паспорте, СНИЛС, ИНН. Там могут храниться сканы документов. К профилю можно привязать банковскую карту — для оплаты пошлин и налогов. Кроме того, через «Госуслуги» можно войти в личные кабинеты других сервисов — налоговой, Пенсионного фонда, портала госуслуг Москвы mos.ru.
Взлом «Госуслуг» — это действительно очень неприятное событие, говорит Алексей Лукацкий. Он называет три основных риска в этой ситуации.
1. Мошенники могут внести сведения с портала в базы данных, которые используют мошенники. У мошенников будет больше сведений, а значит, их звонки и письма на почту буду вызывать больше доверия. Например, зная серию и номер паспорта, СНИЛС, ИНН, можно с большей эффективностью проводить фишинговые атаки. Пользователи будут получать письма якобы от имени «Госуслуг» с данными, которые известны только этому порталу. Таким письмам люди будут больше доверять, переходить по указанным ссылкам и вводить данные банковских карт, тем самым терять деньги.
2. Мошенники могут оформить кредит, если найдут на Госуслугах сканы паспортов.
3. Мошенники могут воспользоваться деньгами на банковской карте, если она привязана к аккаунту.
Как защитить свой аккаунт на портале Госуслуг
Для защиты аккаунта достаточно включить двухфакторную аутентификацию, то есть вход на портал не только по логину и паролю, но и одноразовому СМС-коду. У тех, в чьи аккаунты смогли зайти мошенники, такой защиты не было, отмечает Лукацкий.
Кроме того, нужно использовать сложный пароль — с буквами разного регистра, символами и цифрами. В нём должно быть от восьми знаков. Использовать этот пароль нужно только на «Госуслугах», не устанавливать такой же пароль, например, в соцсетях, добавляет руководитель команды разработки мессенджера Gem4me Ваге Закарян. Он также советует один-два раза в год менять пароль и никому его не сообщать.
Чтобы свести риски к минимуму, можно удалять данные банковских карт, сканы документов, но это не всегда удобно, ведь тогда теряется сам смысл единого портала, считают эксперты.
Как включить СМС-подтверждение на «Госуслугах»
Чтобы включить подтверждение по СМС, нужно:
1. Зайти в меню «Настройки и безопасность».
2. В левом меню выбрать пункт «Вход в систему».
3. Кликнуть на ссылку «Настроить» в окне с разделом «Вход с подтверждением по SMS».
4. В появившейся строке ввести пароль от аккаунта и нажать кнопку «Включить».
Теперь на портал нельзя зайти без одноразового СМС-кода, который приходит на телефон пользователя.
Согласие на предоставление доступа к данным для сайта Госуслуги
Данные в личном кабинете пользователя портала «Госуслуги» предоставляются гражданам различными ведомствами. Для того, чтобы своевременно получать услуги в электронном формате всем пользователям сайта необходимо дать согласие для предоставления доступа к данным. Это позволит автоматически заполнять строки в заявлениях с личными сведениями и датами. Если какой-то из документов придется заменить, то информация о нем обновится в режиме онлайн. В будущем социальные льготы можно будет получать без заявлений.
Почему именно эти данные?
С согласия пользователя обеспечивается доступ к данным, которые есть у ведомств. Информация периодически обновляется и поддерживается в личном кабинете в актуальном состоянии. При наличии этих данных можно сэкономить массу времени на заполнении анкет и заявлений при получении услуг. К примеру, информация из справки о доходах может понадобиться при оформлении кредита, а сведения от МВД – для получения ОСАГО.
Кому могут предоставляться данные пользователя
Персональные данные гражданина не передаются третьим лицам через портал Госуслуг. Функция цифрового согласия нужна для того, чтобы предоставить доступ к своим данным для получения услуг в тех организациях, которым пользователь может доверять. В иные ведомства и организации информация передается исключительно с непосредственного согласия гражданина.
Насколько защищены данные
Персональные сведения о пользователе находятся в полной безопасности. Они хранятся на сервере, где соблюдаются все требования к информационной безопасности, которые приняты в нашей стране.
Можно ли дать согласие на часть данных
На портале согласие пользователя необходимо только на те данные, которые ему могут понадобиться для получения государственных услуг. Разработчики постоянно улучшают функционал личного кабинета, поэтому в скором времени в нем можно будет выбрать определенные данные, которые могут там храниться.
Нужна ли подпись для выдачи согласия
Для того чтобы оформить предоставление согласия на обработку данных, потребуется только подтвердить системный запрос. В результате оно будет подписано обычной электронной подписью.
Она представляет собой уникальный логин и пароль от личного кабинета на сайте. Для этой процедуры не нужна квалифицированная электронная подпись.