[Информационная безопасность] Как потерять аккаунт на Гос. услугах за 5 секунд

Автор Сообщение
news_bot ®

Стаж: 6 лет 9 месяцев
Сообщений: 27286

Создавать темы news_bot ® написал(а)
03-Дек-2020 22:30

Ошибки при интеграциях разных систем случаются не так редко. И главное тут во время получать звоночки и фиксить эти проблемы.
Хочу рассказать вам о критической уязвимости при такой интеграции и возможности потерять свой аккаунт на гос. услугах.
Началось всё вечером. Отдыхая после работы, я получаю смс от гос. услуг с паролем для первого входа. У меня вначале появляется недоумение. Потом осознание того, что что-то тут не так. И я лезу в приложение гос. услуг на телефоне проверять свои персональные данные. И тут я обнаруживаю, что у меня нет привязанного номера телефона.
После этого начинается паника. Пытаюсь свой номер телефона привязать к аккаунту, на что получаю смс о том, что он уже привязан к другому. После такого сообщения меня начинает трясти, т.к. осознаю, что на гос. услуги много чего привязано. Хорошо, что имею второй номер телефона. Я сразу же его привязала и сменила пароль. После этого более менее успокоилась. Но осадок как бы остался.

Скрин смс

SPL


Пока искала как мне связаться со службой тех. поддержки, пришел муж и начал мне говорить про странные сообщения от Сбера. Я ему рассказываю, что меня взломали. И тут выясняется что же в результате произошло.
Мой муж, как и 90% населения России (не Москвы), получает серую ЗП. И отдал мне зарплатную карту. И кроме этого, он так же на Сбер получает пенсию. И как-то так получилось, что мой номер телефона оказался в его личном кабинете Сбера основным. Ну мне то как бы было без разницы, поэтому никто ничего не менял.
В этом году его для пенсии заставили выпустить карту мир. И вот теперь ему пришло сообщение, что он должен был отправить свои данные по карте в ПФР. И что это можно сделать нажатием одной кнопки в приложении Сбера. Ну как говорится это он и сделал. И после этих действий я потеряла свой номер на гос. услугах. Точнее мой номер оказался привязанным в его личном кабинете на гос. услугах. Естественно после этого он привязал свой номер телефона, а мой убрал.
После этого мне конечно очень сильно отлегло. Но это критическая уязвимость. При нажатии на кнопку не говорится, что основной номер в сбере уйдет в личный кабинет.
После звонка в тех. поддержку гос. услуг (они никак не хотели составлять тикет, на общение у меня ушло 30 минут) мне начали отвечать сплошными отписками.
Я понимаю, что это не сплошная вина гос. услуг. Тут пошло на перекосяк при интеграции Сбера с ПФР и передачей данных в гос. услуги. Но что в результате выяснилось — что какие бы данные не пришли — можно спокойно потерять свой аккаунт. Т.к. любой номер телефона можно отвязать от левого человека и привязать к другому.

Скрины писем

SPL




Уважаемые сотрудники Сбер, ПФР и Гос. услуг — решите, пожалуйста, данную проблему. Т.к. по перепискам с тех. поддержкой поняла, что скорее всего до вас это не дойдет и в итоге я получу какую-то глупую отписку о том как привязать номер телефона в гос. услугах.
Уверена, что не я одна такая. И кто-то еще может пострадать или уже пострадал от этого.
===========
Источник:
habr.com
===========

Похожие новости: Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_bezopasnost (безопасность), #_informatsionnaja_bezopasnost (
Информационная безопасность
)
Профиль  ЛС 
Показать сообщения:     

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы

Текущее время: 22-Ноя 13:55
Часовой пояс: UTC + 5