Лента новостей

Россия

1793
16

Пользователи сайта госуслуг могут массово пострадать от мошенников

В защите популярного портала оказалась внушительная «дыра».
ForPost - Новости : Пользователи сайта госуслуг могут массово пострадать от мошенников
Фото: Никита Попов / РБК

Пользователи «Единого портала государственных и муниципальных услуг» (сайт госуслуг) могут массово пострадать от хакеров и мошенников из-за уязвимости, которая была обнаружена на сайте, сообщил корреспонденту ForPost специалист по кибербезопасности, программист Сергей Вакулин.

Напомним, дистанционное электронное голосование (ДЭГ) на выборах 19 сентября пройдёт в семи регионах. Всем онлайн-избирателям для участия в электронном голосовании также необходимо иметь подтверждённую учётную запись на госуслугах, а кроме того — регистрацию по месту жительства на территории одного из регионов, отобранных ЦИК для участия в ДЭГ.

Избиратель подаёт одно заявление для участия во всех выборах, на которые он имеет право. В нём указываются фамилия, имя, отчество, дата рождения, адрес места жительства (в соответствии с паспортом), серия и номер самого паспорта, номер мобильного телефона (при наличии), дата и время подачи заявления.

В ЦИК заверили: все персональные данные надёжно защищены, сообщает «Парламентская газета».

Однако, как оказалось, в защите портала госуслуг оказалась дыра.

«На сайте госуслуг была найдена самая распространённая уязвимость, которая известна абсолютно всем. Речь идёт о внедрении вредоносного кода в тело страницы. Он позволяет совершать определённые действия без ведома пользователя за счёт того, что отправляется запрос в браузер, который его обрабатывает», — пояснил Вакулин.

Читайте по теме: Не дом и не улица: из паспортов россиян исчезнут штампы о прописке

Опасность этой уязвимости заключается в том, что злоумышленник может перехватить куки (cookie — небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере пользователя).

Если хакер завладеет этими cookie, он может получить доступ к персональным данным пользователя сайта госуслуги: куки созданы для того, чтобы пользователь не вводил регулярно пароль.

«Если злоумышленники захватили cookie, а пользователь сайта госуслуг не сменил пароль или не вышел из личного кабинета, то у них есть шанс завладеть персональными данными пользователя сайта, не зная логина и пароля. От имени пользователя они могут совершать различные операции. На Госуслугах эта уязвимость есть», — уточнил специалист по кибербезопасности.

В конце июля РБК сообщил о том, что преступники начали получать доступ к личным кабинетам на госуслугах, менять там номера и адреса электронной почты и брать от имени зарегистрированных граждан кредиты. Эксперты предупреждают: единственная защита — это бдительность.

Читайте также: Порносайты в России хотят легализовать через госуслуги

Роберт Вочовский

Поделитесь этой новостью с друзьями:

Оцените статью: 
2
Средняя оценка: 2 (4 голосов)

Обсуждение (16)

Аватар пользователя Максим Правдоруб
постов:
62
Максим Правдоруб (Севастополь)
- 25/08/2021 в 10:37

Достаточно просто разлогинится после того как закончил все дела.

Аватар пользователя Врать хватит
постов:
440
Врать хватит (Владивосток)
- 25/08/2021 в 11:11

Добро пожаловать в эпоху цифровизации цифроза (

(преступники начали получать доступ к личным кабинетам на госуслугах, менять там номера и адреса электронной почты и брать от имени зарегистрированных граждан кредиты.)

to Максим Правдоруб:  Конечно, они все разлогиниться забыли ) "В Департаменте информационных технологий Москвы произошла массовая утечка персональных данных переболевших ковидом жителей столицы. В открытом доступе оказалась информация, содержащая персональные данные примерно 300 тысяч человек." https://tsargrad.tv/articles/300-tysjach-zhertv-utechka-iz-moskovskoj-mjerii-vskrala-pravdu-o-cifrovizacii_305745
Достаточно просто разлогинится после того как закончил все дела.

 

Аватар пользователя Квинто
постов:
1058
Квинто (Севастополь)
- 25/08/2021 в 11:11

Это дело правоохранителей.

Аватар пользователя Nik Nik
постов:
1057
Nik Nik (Севастополь)
- 25/08/2021 в 11:12

В конце июля РБК сообщил о том, что преступники начали получать доступ к личным кабинетам на госуслугах, менять там номера и адреса электронной почты и брать от имени зарегистрированных граждан кредиты. Эксперты предупреждают: единственная защита — это бдительность.

  Кто-нибудь может объяснить как можно и нужно проявить бдительность, если преступники после доступа к личному кабинету гражданина  России набрали кредитов в различных финансовых организациях, о существовании которых потерпевший не знает?

Аватар пользователя streletz
постов:
103
streletz (Севастополь)
- 25/08/2021 в 11:14

Только вчера пришлось разбираться с ситуацией в МФЦ, т.к. произошло "удвоение" учетной записи и доступа к личному кабинету не было. И с подобной проблемой подходили люди, фактически, каждый второй. Чой-то "гниловаты" Госуслуги. Жду дальнейших сюрпризов((((

Аватар пользователя Аэлита
постов:
4115
Аэлита (Севастополь)
- 25/08/2021 в 11:18

Сайтом вообще не возможно пользоваться.  Для того, чтоб найти какую-то страничку, приходиться перелопатить кучу закладок. На вопросы  в чате отвечают через несколько часов. К врачу записаться получилось только 1 раз, несколько месяцев назад. Больше записи нет. 

Загранпаспорт тоже нет возможность получить, страничка с выбором места получения зависает совсем. Да и записаться на прием для получения тоже нет возможности... 

 

Аватар пользователя Александр Коломинов
постов:
392
Александр Коломинов
- 25/08/2021 в 11:24

В США в прошлом веке был такой случай. разработчик банковской компьютерной системы сделал программу так, что с каждой операции на его счет перечислялся 1 цент...smile  Спалился случайно. Дали много.

Аватар пользователя val.prasolov
постов:
3687
val.prasolov (Севастополь)
- 25/08/2021 в 11:41

Напомним, дистанционное электронное голосование (ДЭГ) на выборах 19 сентября пройдёт в семи регионах

 

Не буду участвовать в таком голосовании пока мне ответят на два вопроса:

1. Как независимые наблюдатели смогут проверить, что электронное голосование проведено без нарушений?

(как можно подкрутить результаты, или выдать другие результаты в программах знаю не по наслышке.)

2. Если докажут, что по первому вопросу нет нарушений, тогда пусть рассказывают

как при электронном голосовании и возможности его контроля независимыми наблюдателями сохраняется принцип тайного голосования?

Аватар пользователя Zemfira
постов:
387
Zemfira (Севастополь)
- 25/08/2021 в 13:16

 

Только вчера пришлось разбираться с ситуацией в МФЦ, т.к. произошло "удвоение" учетной записи и доступа к личному кабинету не было. И с подобной проблемой подходили люди, фактически, каждый второй. Чой-то "гниловаты" Госуслуги. Жду дальнейших сюрпризов((((

 Такая же ситуация. В МФЦ потратили 1.5 часа с сотрудником, который ничем помочь не смог! Две учётных записи образовались волшебным образом. А началось всё с попытки получить сертификат о вакцинации. Увы...

Проблема не решается.

Аватар пользователя Максим Правдоруб
постов:
62
Максим Правдоруб (Севастополь)
- 25/08/2021 в 14:16

Добро пожаловать в эпоху цифровизации цифроза

По факту изложенному в статье именно так. Достаточно просто разлогинится. Нафига минусовать если не знаешь как это работает вообще?  Описан широко известный эксплоит, использующий сохраненные куки  в которых сохраняется сессия авторизации. Если разлогинится - этой куки не будет и воровать будет не чего.   Другое дело что тут к разработчикам вопрос - нафига так было делать. Исправить кстати тоже легко, но думается мне что когда  это лепили - думали как сделать доступ проще для пролетариата.

Аватар пользователя streletz
постов:
103
streletz (Севастополь)
- 25/08/2021 в 14:22

to Zemfira:  Моя история. В окошке №19 девушка справилась. Но для получения сертификата о вакцинации надо идти к заведующей поликлиники, чтобы она еще раз отправила сведения о вакцинации на Госуслуги. Пока буду ходить с работы выгонят

Аватар пользователя Oberon
постов:
4659
Oberon
- 25/08/2021 в 14:24

 

Только вчера пришлось разбираться с ситуацией в МФЦ, т.к. произошло "удвоение" учетной записи и доступа к личному кабинету не было. И с подобной проблемой подходили люди, фактически, каждый второй. Чой-то "гниловаты" Госуслуги. Жду дальнейших сюрпризов((((

 да норм всё будет. как трёхдневка в сентябре закончится - так и алга! ))))
 

Аватар пользователя Nik Nik
постов:
1057
Nik Nik (Севастополь)
- 25/08/2021 в 14:28

to Zemfira (Севастополь):

Только вчера пришлось разбираться с ситуацией в МФЦ, т.к. произошло "удвоение" учетной записи и доступа к личному кабинету не было. И с подобной проблемой подходили люди, фактически, каждый второй. Чой-то "гниловаты" Госуслуги. Жду дальнейших сюрпризов((((

 Такая же ситуация. В МФЦ потратили 1.5 часа с сотрудником, который ничем помочь не смог! Две учётных записи образовались волшебным образом. А началось всё с попытки получить сертификат о вакцинации. Увы...

 У меня была другая ситуация.  МТС отказало мне в восстановлении номера моего заблокированного телефона, поэтому я вынужден был покупать новый номер. Обратился в МФЦ за помощью изменить в моём личном кабинете на сайте госуслуг номер моего телефона. Два сотрудника МФЦ больше часа пытались изменить номер телефона на новый и не смогли. Направили меня в центральный офис госуслуг, который сейчас находится по адресу ул. Одесская 27. Там тоже сразу не получилось,  и сотрудник дал свой номер телефона и сказал, что будем по удалёнке изменять номер телефона в моём личном кабинете. В конце рабочего дня он перезвонил мне, и мы по удалёнке в течение получаса смогли изменить номер телефона. Цифровизация в действии!

Аватар пользователя Врать хватит
постов:
440
Врать хватит (Владивосток)
- 25/08/2021 в 19:24

to Максим Правдоруб:  А "по жизни" совсем не так. Любые данные, попавшие в сеть на любые сайты, перестают быть "личными" и "персональными", и доступны неопределенному кругу лиц. В том числе и мошенникам (

 По факту изложенному в статье именно так

Аватар пользователя Николай Орлов
постов:
1155
Николай Орлов (Ялта)
- 25/08/2021 в 20:49

to val.prasolov:  
Поэтому на выборы нужно именно идти всем в воскресенье во второй половине дня. Чтобы шансов для фальсификаций было немного. А если кто-то обнаружит, что за него уже "проголосовали", обращаться к наблюдателям от оппозиционных партий и писать письмо в прокуратуру.  

Аватар пользователя мерцание
постов:
3342
мерцание (У самого лучшего моря)
- 09/09/2021 в 13:44

Мыши плакали,кололись,плевались,но продолжали есть кактус.

Если Вы еще не зарегистрированы, пройдите мгновенную регистрацию

Регистрируясь на сайте, Вы автоматически принимаете
соглашение пользователя и соглашаетесь с правилами сайта

Главное за день

Локдаун и QR-коды: в Крыму ввели жесткие антикоронавирусные меры

Стало известно, кого коснутся ограничения.
09:10
119
2

ФАС занялась бешеными ценами на бензин в Крыму

Станет ли топливо дешевле, выяснил ForPost.
19:14
1566
13

Главных врачей больниц Севастополя можно выбирать, как в Югре

Здравоохранению Севастополя имеет смысл изучить удачную практику другого региона.
19:01
1758
10

ТОП 5

Частные объявления