Учетная запись, gosuslugi.ru и ФЗ-152

в 17:04, , рубрики: безопасность, второй фактор, государство и интернет, госуслуги, информационная безопасность, электронное правительство

Короткая история о том, как потерять учетную запись на gosuslugi.ru, если не используешь второго фактора.

История не моя, но я в ней участвовал и разговаривал с техподдержкой gosuslugi.ru. И теперь на сайт gosuslugi.ru только со вторым фактором.

image

Вызвался помочь выяснить задолженность по налогам и другим выплатам государству одному хорошему человеку, далекому от компьютеров и не первый год пенсионеру.

Показалось, что регистрация на gosuslugi.ru, последующий поход в Многофункциональный центр для подтверждения учетной записи наиболее простым решением, которое и было посоветовано.

Далее создал почтовый ящик, с этим почтовым ящиком зарегистрировался на сайте госуслуг, хороший человек подтвердил учетную запись лично посетив МФЦ. Оплатили задолженности, их было не много. Оказалось, что ИФНС необходимо до 14 дней, чтобы отметить что задолженности нет.

Узнать судьбу платежей захотелось через неделю. Но войти на сайт госуслуг не удалось — «не существует запись» ответила техподдержка и предложила составить обращение. Составили. Параллельно проверили ранее специально созданный (и соответственно редко проверяемый) почтовый ящик — оказалось, что в день удаления учетной записи было два письма с разницей в 25 минут. Первое с темой «Восстановление доступа к учетной записи» и соответствующим содержанием. Второе с темой «Учетная запись удалена» и содержанием:

Здравствуйте, ХХХХХХХ ХХХХХХХХХХ ХХХХХХХХ!

Ваша учетная запись в Единой системе идентификации и аутентификации инфраструктуры электронного правительства удалена.
Если вы не инициировали процесс удаления своей учетной записи, возможно, ваша учетная запись была взломана.
Пожалуйста, свяжитесь со службой поддержки Единой системы идентификации и аутентификации.

Я очень сомневаюсь, что логин и пароль мог быть известен злоумышленнику. Подобрать пароль (а он был вот таким /71fge6HaRNP3ng.) к сайту маловероятно. Пара логин/пароль пароль был записан на бумажку «квадратными» буквами. Пара логин/пароль от сайта не совпадает с парой Логин/пароль от почты(тоже записан на бумажку). Вход осуществлялся через режим «Инкогнито» без каких-либо плагинов под присмотром хорошего человека — хотя он и не очень понимает, что я делаю, но это дисциплинирует.

Не могу представить кому могло понадобится удаление учетной записи на сайте госуслуг.

При связи со службой поддержки, как уже было сказано ранее, выяснилось, что запись удалена. Спустя два дня позвонили по обращению и ссылалась на Ф3-152 о ПД сказали:

  • что запись удалена
  • восстановлению не подлежит
  • узнать какие-либо подробности о процессе удаления (кто, откуда, как и т.п.) нельзя — не хранят они информацию согласно Ф3-152 о ПД.
  • для удаления достаточно только знания почты и пароля, т.е. доступа к самой почте не нужно, письмо с подтверждением не посылается и сам доступ к почтовому ящику не проверяется
  • вопрос почему не проверяется доступ к почте на которую регистрируется запись остался без ответа — не положено знать об этом техподдержке.

Запись создана по новой, позже будет подтверждена посещением МФЦ, после чего можно будет выяснить судьбу платежей.

Для себя сделал выводы:

  • для удаление учетной записи достаточно знать логин/пароль, хотя откуда злоумышленник знал пароль остается загадкой;
  • на сайте госуслуг надо в обязательном порядке использовать второй фактор — первый-то не проверяется;
  • что-то не доделали в разрезе безопасности на сайте госуслуг.

Сам по мере необходимости пользуюсь сайтом госуслуг, впечатления до этого момента были сугубо положительны.

Автор: Ершов Сергей

Источник



https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js