Пользователи «Единого портала государственных и муниципальных услуг» (сайт госуслуг) могут массово пострадать от хакеров и мошенников из-за уязвимости, которая была обнаружена на сайте, сообщил корреспонденту ForPost специалист по кибербезопасности, программист Сергей Вакулин.
Напомним, дистанционное электронное голосование (ДЭГ) на выборах 19 сентября пройдёт в семи регионах. Всем онлайн-избирателям для участия в электронном голосовании также необходимо иметь подтверждённую учётную запись на госуслугах, а кроме того — регистрацию по месту жительства на территории одного из регионов, отобранных ЦИК для участия в ДЭГ.
Избиратель подаёт одно заявление для участия во всех выборах, на которые он имеет право. В нём указываются фамилия, имя, отчество, дата рождения, адрес места жительства (в соответствии с паспортом), серия и номер самого паспорта, номер мобильного телефона (при наличии), дата и время подачи заявления.
В ЦИК заверили: все персональные данные надёжно защищены, сообщает «Парламентская газета».
Однако, как оказалось, в защите портала госуслуг оказалась дыра.
«На сайте госуслуг была найдена самая распространённая уязвимость, которая известна абсолютно всем. Речь идёт о внедрении вредоносного кода в тело страницы. Он позволяет совершать определённые действия без ведома пользователя за счёт того, что отправляется запрос в браузер, который его обрабатывает», — пояснил Вакулин.
Читайте по теме: Не дом и не улица: из паспортов россиян исчезнут штампы о прописке
Опасность этой уязвимости заключается в том, что злоумышленник может перехватить куки (cookie — небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере пользователя).
Если хакер завладеет этими cookie, он может получить доступ к персональным данным пользователя сайта госуслуги: куки созданы для того, чтобы пользователь не вводил регулярно пароль.
«Если злоумышленники захватили cookie, а пользователь сайта госуслуг не сменил пароль или не вышел из личного кабинета, то у них есть шанс завладеть персональными данными пользователя сайта, не зная логина и пароля. От имени пользователя они могут совершать различные операции. На Госуслугах эта уязвимость есть», — уточнил специалист по кибербезопасности.
В конце июля РБК сообщил о том, что преступники начали получать доступ к личным кабинетам на госуслугах, менять там номера и адреса электронной почты и брать от имени зарегистрированных граждан кредиты. Эксперты предупреждают: единственная защита — это бдительность.
Читайте также: Порносайты в России хотят легализовать через госуслуги
Роберт Вочовский
Достаточно просто разлогинится после того как закончил все дела.
Это дело правоохранителей.
Кто-нибудь может объяснить как можно и нужно проявить бдительность, если преступники после доступа к личному кабинету гражданина России набрали кредитов в различных финансовых организациях, о существовании которых потерпевший не знает?
Только вчера пришлось разбираться с ситуацией в МФЦ, т.к. произошло "удвоение" учетной записи и доступа к личному кабинету не было. И с подобной проблемой подходили люди, фактически, каждый второй. Чой-то "гниловаты" Госуслуги. Жду дальнейших сюрпризов((((
Сайтом вообще не возможно пользоваться. Для того, чтоб найти какую-то страничку, приходиться перелопатить кучу закладок. На вопросы в чате отвечают через несколько часов. К врачу записаться получилось только 1 раз, несколько месяцев назад. Больше записи нет.
Загранпаспорт тоже нет возможность получить, страничка с выбором места получения зависает совсем. Да и записаться на прием для получения тоже нет возможности...
В США в прошлом веке был такой случай. разработчик банковской компьютерной системы сделал программу так, что с каждой операции на его счет перечислялся 1 цент...
Спалился случайно. Дали много.
По факту изложенному в статье именно так. Достаточно просто разлогинится. Нафига минусовать если не знаешь как это работает вообще? Описан широко известный эксплоит, использующий сохраненные куки в которых сохраняется сессия авторизации. Если разлогинится - этой куки не будет и воровать будет не чего. Другое дело что тут к разработчикам вопрос - нафига так было делать. Исправить кстати тоже легко, но думается мне что когда это лепили - думали как сделать доступ проще для пролетариата.
to Zemfira: Моя история. В окошке №19 девушка справилась. Но для получения сертификата о вакцинации надо идти к заведующей поликлиники, чтобы она еще раз отправила сведения о вакцинации на Госуслуги. Пока буду ходить с работы выгонят
да норм всё будет. как трёхдневка в сентябре закончится - так и алга! ))))
to Zemfira (Севастополь):
У меня была другая ситуация. МТС отказало мне в восстановлении номера моего заблокированного телефона, поэтому я вынужден был покупать новый номер. Обратился в МФЦ за помощью изменить в моём личном кабинете на сайте госуслуг номер моего телефона. Два сотрудника МФЦ больше часа пытались изменить номер телефона на новый и не смогли. Направили меня в центральный офис госуслуг, который сейчас находится по адресу ул. Одесская 27. Там тоже сразу не получилось, и сотрудник дал свой номер телефона и сказал, что будем по удалёнке изменять номер телефона в моём личном кабинете. В конце рабочего дня он перезвонил мне, и мы по удалёнке в течение получаса смогли изменить номер телефона. Цифровизация в действии!
to val.prasolov:
Поэтому на выборы нужно именно идти всем в воскресенье во второй половине дня. Чтобы шансов для фальсификаций было немного. А если кто-то обнаружит, что за него уже "проголосовали", обращаться к наблюдателям от оппозиционных партий и писать письмо в прокуратуру.
Мыши плакали,кололись,плевались,но продолжали есть кактус.