Новости России

Пользователи сайта госуслуг могут массово пострадать от мошенников

В защите популярного портала оказалась внушительная «дыра».

Служба новостей ForPost

25/08/2021 - 10:26

Пользователи «Единого портала государственных и муниципальных услуг» (сайт госуслуг) могут массово пострадать от хакеров и мошенников из-за уязвимости, которая была обнаружена на сайте, сообщил корреспонденту ForPost специалист по кибербезопасности, программист Сергей Вакулин.

Напомним, дистанционное электронное голосование (ДЭГ) на выборах 19 сентября пройдёт в семи регионах. Всем онлайн-избирателям для участия в электронном голосовании также необходимо иметь подтверждённую учётную запись на госуслугах, а кроме того — регистрацию по месту жительства на территории одного из регионов, отобранных ЦИК для участия в ДЭГ.

Избиратель подаёт одно заявление для участия во всех выборах, на которые он имеет право. В нём указываются фамилия, имя, отчество, дата рождения, адрес места жительства (в соответствии с паспортом), серия и номер самого паспорта, номер мобильного телефона (при наличии), дата и время подачи заявления.

В ЦИК заверили: все персональные данные надёжно защищены, сообщает «Парламентская газета».

Однако, как оказалось, в защите портала госуслуг оказалась дыра.

«На сайте госуслуг была найдена самая распространённая уязвимость, которая известна абсолютно всем. Речь идёт о внедрении вредоносного кода в тело страницы. Он позволяет совершать определённые действия без ведома пользователя за счёт того, что отправляется запрос в браузер, который его обрабатывает», — пояснил Вакулин.

Читайте по теме: Не дом и не улица: из паспортов россиян исчезнут штампы о прописке

Опасность этой уязвимости заключается в том, что злоумышленник может перехватить куки (cookie — небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере пользователя).

Если хакер завладеет этими cookie, он может получить доступ к персональным данным пользователя сайта госуслуги: куки созданы для того, чтобы пользователь не вводил регулярно пароль.

«Если злоумышленники захватили cookie, а пользователь сайта госуслуг не сменил пароль или не вышел из личного кабинета, то у них есть шанс завладеть персональными данными пользователя сайта, не зная логина и пароля. От имени пользователя они могут совершать различные операции. На Госуслугах эта уязвимость есть», — уточнил специалист по кибербезопасности.

В конце июля РБК сообщил о том, что преступники начали получать доступ к личным кабинетам на госуслугах, менять там номера и адреса электронной почты и брать от имени зарегистрированных граждан кредиты. Эксперты предупреждают: единственная защита — это бдительность.

Роберт Вочовский

Все материалы автора: Роберт Вочовский

2021

Поделитесь:

Оцените статью:

Теги:

Интернет

Читать также:

Минцифры: деанонимизация в интернете необходима для информационной безопасности

Село под Воронежем неожиданно стало интернет-столицей России

Две трети россиян пользуются устаревшими роутерами

Прокуратура усомнилась в смертельной болезни блогера Лерчек из-за активной светской жизни

Блогеру Митрошиной вынесли приговор по делу об отмывании 115 млн рублей

У Дианы Шурыгиной, известной по скандалу, новые проблемы: она под арестом

Обсуждение (12)

424

Максим Правдоруб

ср, 25/08/2021 - 10:37

Достаточно просто разлогинится после того как закончил все дела.

1709

Квинто

ср, 25/08/2021 - 11:11

Это дело правоохранителей.

1391

Nik Nik

ср, 25/08/2021 - 11:12

В конце июля РБК сообщил о том, что преступники начали получать доступ к личным кабинетам на госуслугах, менять там номера и адреса электронной почты и брать от имени зарегистрированных граждан кредиты. Эксперты предупреждают: единственная защита — это бдительность.

Кто-нибудь может объяснить как можно и нужно проявить бдительность, если преступники после доступа к личному кабинету гражданина России набрали кредитов в различных финансовых организациях, о существовании которых потерпевший не знает?

220

streletz

ср, 25/08/2021 - 11:14

Только вчера пришлось разбираться с ситуацией в МФЦ, т.к. произошло "удвоение" учетной записи и доступа к личному кабинету не было. И с подобной проблемой подходили люди, фактически, каждый второй. Чой-то "гниловаты" Госуслуги. Жду дальнейших сюрпризов((((

4243

Аэлита

ср, 25/08/2021 - 11:18

Сайтом вообще не возможно пользоваться. Для того, чтоб найти какую-то страничку, приходиться перелопатить кучу закладок. На вопросы в чате отвечают через несколько часов. К врачу записаться получилось только 1 раз, несколько месяцев назад. Больше записи нет.

Загранпаспорт тоже нет возможность получить, страничка с выбором места получения зависает совсем. Да и записаться на прием для получения тоже нет возможности...

1604

Александр Коломинов

ср, 25/08/2021 - 11:24

В США в прошлом веке был такой случай. разработчик банковской компьютерной системы сделал программу так, что с каждой операции на его счет перечислялся 1 цент... Спалился случайно. Дали много.

424

Максим Правдоруб

ср, 25/08/2021 - 14:16

Добро пожаловать в эпоху цифровизации цифроза

По факту изложенному в статье именно так. Достаточно просто разлогинится. Нафига минусовать если не знаешь как это работает вообще? Описан широко известный эксплоит, использующий сохраненные куки в которых сохраняется сессия авторизации. Если разлогинится - этой куки не будет и воровать будет не чего. Другое дело что тут к разработчикам вопрос - нафига так было делать. Исправить кстати тоже легко, но думается мне что когда это лепили - думали как сделать доступ проще для пролетариата.

220

streletz

ср, 25/08/2021 - 14:22

to Zemfira: Моя история. В окошке №19 девушка справилась. Но для получения сертификата о вакцинации надо идти к заведующей поликлиники, чтобы она еще раз отправила сведения о вакцинации на Госуслуги. Пока буду ходить с работы выгонят

6879

Oberon

ср, 25/08/2021 - 14:24

Только вчера пришлось разбираться с ситуацией в МФЦ, т.к. произошло "удвоение" учетной записи и доступа к личному кабинету не было. И с подобной проблемой подходили люди, фактически, каждый второй. Чой-то "гниловаты" Госуслуги. Жду дальнейших сюрпризов((((

да норм всё будет. как трёхдневка в сентябре закончится - так и алга! ))))

1391

Nik Nik

ср, 25/08/2021 - 14:28

to Zemfira (Севастополь):

Только вчера пришлось разбираться с ситуацией в МФЦ, т.к. произошло "удвоение" учетной записи и доступа к личному кабинету не было. И с подобной проблемой подходили люди, фактически, каждый второй. Чой-то "гниловаты" Госуслуги. Жду дальнейших сюрпризов((((
Такая же ситуация. В МФЦ потратили 1.5 часа с сотрудником, который ничем помочь не смог! Две учётных записи образовались волшебным образом. А началось всё с попытки получить сертификат о вакцинации. Увы...

У меня была другая ситуация. МТС отказало мне в восстановлении номера моего заблокированного телефона, поэтому я вынужден был покупать новый номер. Обратился в МФЦ за помощью изменить в моём личном кабинете на сайте госуслуг номер моего телефона. Два сотрудника МФЦ больше часа пытались изменить номер телефона на новый и не смогли. Направили меня в центральный офис госуслуг, который сейчас находится по адресу ул. Одесская 27. Там тоже сразу не получилось, и сотрудник дал свой номер телефона и сказал, что будем по удалёнке изменять номер телефона в моём личном кабинете. В конце рабочего дня он перезвонил мне, и мы по удалёнке в течение получаса смогли изменить номер телефона. Цифровизация в действии!

3386

Николай Орлов

ср, 25/08/2021 - 20:49

to val.prasolov:

Поэтому на выборы нужно именно идти всем в воскресенье во второй половине дня. Чтобы шансов для фальсификаций было немного. А если кто-то обнаружит, что за него уже "проголосовали", обращаться к наблюдателям от оппозиционных партий и писать письмо в прокуратуру.

5113

мерцание

чт, 09/09/2021 - 13:44

Мыши плакали,кололись,плевались,но продолжали есть кактус.

Уважаемые читатели, комментаторы портала ForPost!

C 22.00 до 8.00 на нашем сайте действует ночной "режим тишины": в этот период публикация комментариев невозможна.

Главное за день