Как потерять аккаунт на Гос. услугах за 5 секунд

в 13:30, , рубрики: безопасность, информационная безопасность

Ошибки при интеграциях разных систем случаются не так редко. И главное тут во время получать звоночки и фиксить эти проблемы.

Хочу рассказать вам о критической уязвимости при такой интеграции и возможности потерять свой аккаунт на гос. услугах.

Началось всё вечером. Отдыхая после работы, я получаю смс от гос. услуг с паролем для первого входа. У меня вначале появляется недоумение. Потом осознание того, что что-то тут не так. И я лезу в приложение гос. услуг на телефоне проверять свои персональные данные. И тут я обнаруживаю, что у меня нет привязанного номера телефона.

После этого начинается паника. Пытаюсь свой номер телефона привязать к аккаунту, на что получаю смс о том, что он уже привязан к другому. После такого сообщения меня начинает трясти, т.к. осознаю, что на гос. услуги много чего привязано. Хорошо, что имею второй номер телефона. Я сразу же его привязала и сменила пароль. После этого более менее успокоилась. Но осадок как бы остался.

Скрин смс
Как потерять аккаунт на Гос. услугах за 5 секунд - 1

Пока искала как мне связаться со службой тех. поддержки, пришел муж и начал мне говорить про странные сообщения от Сбера. Я ему рассказываю, что меня взломали. И тут выясняется что же в результате произошло.

Мой муж, как и 90% населения России (не Москвы), получает серую ЗП. И отдал мне зарплатную карту. И кроме этого, он так же на Сбер получает пенсию. И как-то так получилось, что мой номер телефона оказался в его личном кабинете Сбера основным. Ну мне то как бы было без разницы, поэтому никто ничего не менял.

В этом году его для пенсии заставили выпустить карту мир. И вот теперь ему пришло сообщение, что он должен был отправить свои данные по карте в ПФР. И что это можно сделать нажатием одной кнопки в приложении Сбера. Ну как говорится это он и сделал. И после этих действий я потеряла свой номер на гос. услугах. Точнее мой номер оказался привязанным в его личном кабинете на гос. услугах. Естественно после этого он привязал свой номер телефона, а мой убрал.

После этого мне конечно очень сильно отлегло. Но это критическая уязвимость. При нажатии на кнопку не говорится, что основной номер в сбере уйдет в личный кабинет.

После звонка в тех. поддержку гос. услуг (они никак не хотели составлять тикет, на общение у меня ушло 30 минут) мне начали отвечать сплошными отписками.

Я понимаю, что это не сплошная вина гос. услуг. Тут пошло на перекосяк при интеграции Сбера с ПФР и передачей данных в гос. услуги. Но что в результате выяснилось — что какие бы данные не пришли — можно спокойно потерять свой аккаунт. Т.к. любой номер телефона можно отвязать от левого человека и привязать к другому.

Скрины писем

Как потерять аккаунт на Гос. услугах за 5 секунд - 2

Как потерять аккаунт на Гос. услугах за 5 секунд - 3

Как потерять аккаунт на Гос. услугах за 5 секунд - 4

Уважаемые сотрудники Сбер, ПФР и Гос. услуг — решите, пожалуйста, данную проблему. Т.к. по перепискам с тех. поддержкой поняла, что скорее всего до вас это не дойдет и в итоге я получу какую-то глупую отписку о том как привязать номер телефона в гос. услугах.

Уверена, что не я одна такая. И кто-то еще может пострадать или уже пострадал от этого.

Автор: Елена

Источник


* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js