[Информационная безопасность] Как потерять аккаунт на Гос. услугах за 5 секунд
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Ошибки при интеграциях разных систем случаются не так редко. И главное тут во время получать звоночки и фиксить эти проблемы.
Хочу рассказать вам о критической уязвимости при такой интеграции и возможности потерять свой аккаунт на гос. услугах.
Началось всё вечером. Отдыхая после работы, я получаю смс от гос. услуг с паролем для первого входа. У меня вначале появляется недоумение. Потом осознание того, что что-то тут не так. И я лезу в приложение гос. услуг на телефоне проверять свои персональные данные. И тут я обнаруживаю, что у меня нет привязанного номера телефона.
После этого начинается паника. Пытаюсь свой номер телефона привязать к аккаунту, на что получаю смс о том, что он уже привязан к другому. После такого сообщения меня начинает трясти, т.к. осознаю, что на гос. услуги много чего привязано. Хорошо, что имею второй номер телефона. Я сразу же его привязала и сменила пароль. После этого более менее успокоилась. Но осадок как бы остался.
Скрин смс
SPL
Пока искала как мне связаться со службой тех. поддержки, пришел муж и начал мне говорить про странные сообщения от Сбера. Я ему рассказываю, что меня взломали. И тут выясняется что же в результате произошло.
Мой муж, как и 90% населения России (не Москвы), получает серую ЗП. И отдал мне зарплатную карту. И кроме этого, он так же на Сбер получает пенсию. И как-то так получилось, что мой номер телефона оказался в его личном кабинете Сбера основным. Ну мне то как бы было без разницы, поэтому никто ничего не менял.
В этом году его для пенсии заставили выпустить карту мир. И вот теперь ему пришло сообщение, что он должен был отправить свои данные по карте в ПФР. И что это можно сделать нажатием одной кнопки в приложении Сбера. Ну как говорится это он и сделал. И после этих действий я потеряла свой номер на гос. услугах. Точнее мой номер оказался привязанным в его личном кабинете на гос. услугах. Естественно после этого он привязал свой номер телефона, а мой убрал.
После этого мне конечно очень сильно отлегло. Но это критическая уязвимость. При нажатии на кнопку не говорится, что основной номер в сбере уйдет в личный кабинет.
После звонка в тех. поддержку гос. услуг (они никак не хотели составлять тикет, на общение у меня ушло 30 минут) мне начали отвечать сплошными отписками.
Я понимаю, что это не сплошная вина гос. услуг. Тут пошло на перекосяк при интеграции Сбера с ПФР и передачей данных в гос. услуги. Но что в результате выяснилось — что какие бы данные не пришли — можно спокойно потерять свой аккаунт. Т.к. любой номер телефона можно отвязать от левого человека и привязать к другому.
Скрины писем
SPL
Уважаемые сотрудники Сбер, ПФР и Гос. услуг — решите, пожалуйста, данную проблему. Т.к. по перепискам с тех. поддержкой поняла, что скорее всего до вас это не дойдет и в итоге я получу какую-то глупую отписку о том как привязать номер телефона в гос. услугах.
Уверена, что не я одна такая. И кто-то еще может пострадать или уже пострадал от этого.
===========
Источник:
habr.com
===========
Похожие новости:
- [Информационная безопасность, Habr, Системное администрирование] Используем tcpdump для анализа и перехвата сетевого трафика
- [Информационная безопасность] Популярные сайты все еще уязвимы для массовой DDoS-атаки
- [Информационная безопасность, Криптография, Алгоритмы] Знакомство со Skein
- [Информационная безопасность] Как стать владельцем чужой организации в Google Maps?
- [Информационная безопасность, Платежные системы] Большая ретроспектива участия RBK.money в The Standoff 2020
- [Информационная безопасность, Социальные сети и сообщества] Настройки приватности Facebook VS OSINT
- [Информационная безопасность, Управление персоналом, Удалённая работа] Microsoft пообещала поменять систему слежки за сотрудниками Productivity Score после волны критики от экспертов
- [Информационная безопасность, Криптография, Научно-популярное] Как победить гроссмейстера, не умея играть в шахматы. Про злоупотребление доказательства с нулевым знанием
- [Информационная безопасность, Python, Программирование] Проверим тысячи пакетов PyPI на вредоносность (перевод)
- [Информационная безопасность, Криптография, Научно-популярное, Биотехнологии] Генерация случайных чисел с помощью ДНК
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_bezopasnost (безопасность), #_informatsionnaja_bezopasnost (
Информационная безопасность
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 13:55
Часовой пояс: UTC + 5
Автор | Сообщение |
---|---|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
Ошибки при интеграциях разных систем случаются не так редко. И главное тут во время получать звоночки и фиксить эти проблемы. Хочу рассказать вам о критической уязвимости при такой интеграции и возможности потерять свой аккаунт на гос. услугах. Началось всё вечером. Отдыхая после работы, я получаю смс от гос. услуг с паролем для первого входа. У меня вначале появляется недоумение. Потом осознание того, что что-то тут не так. И я лезу в приложение гос. услуг на телефоне проверять свои персональные данные. И тут я обнаруживаю, что у меня нет привязанного номера телефона. После этого начинается паника. Пытаюсь свой номер телефона привязать к аккаунту, на что получаю смс о том, что он уже привязан к другому. После такого сообщения меня начинает трясти, т.к. осознаю, что на гос. услуги много чего привязано. Хорошо, что имею второй номер телефона. Я сразу же его привязала и сменила пароль. После этого более менее успокоилась. Но осадок как бы остался. Скрин смсSPLПока искала как мне связаться со службой тех. поддержки, пришел муж и начал мне говорить про странные сообщения от Сбера. Я ему рассказываю, что меня взломали. И тут выясняется что же в результате произошло. Мой муж, как и 90% населения России (не Москвы), получает серую ЗП. И отдал мне зарплатную карту. И кроме этого, он так же на Сбер получает пенсию. И как-то так получилось, что мой номер телефона оказался в его личном кабинете Сбера основным. Ну мне то как бы было без разницы, поэтому никто ничего не менял. В этом году его для пенсии заставили выпустить карту мир. И вот теперь ему пришло сообщение, что он должен был отправить свои данные по карте в ПФР. И что это можно сделать нажатием одной кнопки в приложении Сбера. Ну как говорится это он и сделал. И после этих действий я потеряла свой номер на гос. услугах. Точнее мой номер оказался привязанным в его личном кабинете на гос. услугах. Естественно после этого он привязал свой номер телефона, а мой убрал. После этого мне конечно очень сильно отлегло. Но это критическая уязвимость. При нажатии на кнопку не говорится, что основной номер в сбере уйдет в личный кабинет. После звонка в тех. поддержку гос. услуг (они никак не хотели составлять тикет, на общение у меня ушло 30 минут) мне начали отвечать сплошными отписками. Я понимаю, что это не сплошная вина гос. услуг. Тут пошло на перекосяк при интеграции Сбера с ПФР и передачей данных в гос. услуги. Но что в результате выяснилось — что какие бы данные не пришли — можно спокойно потерять свой аккаунт. Т.к. любой номер телефона можно отвязать от левого человека и привязать к другому. Скрины писемSPLУважаемые сотрудники Сбер, ПФР и Гос. услуг — решите, пожалуйста, данную проблему. Т.к. по перепискам с тех. поддержкой поняла, что скорее всего до вас это не дойдет и в итоге я получу какую-то глупую отписку о том как привязать номер телефона в гос. услугах. Уверена, что не я одна такая. И кто-то еще может пострадать или уже пострадал от этого. =========== Источник: habr.com =========== Похожие новости:
Информационная безопасность ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 13:55
Часовой пояс: UTC + 5