{"id":3845,"title":"\u041f\u043e\u0447\u0435\u043c\u0443 \u0440\u043e\u0441\u0441\u0438\u044f\u043d\u0435 \u0441\u0442\u0430\u043b\u0438 \u0447\u0430\u0449\u0435 \u043f\u043e\u043a\u0443\u043f\u0430\u0442\u044c \u043f\u043e \u043e\u0431\u044a\u044f\u0432\u043b\u0435\u043d\u0438\u044f\u043c","url":"\/redirect?component=advertising&id=3845&url=https:\/\/vc.ru\/promo\/253904-pochemu-rossiyane-stali-chashche-pokupat-tovary-po-obyavleniyu&hash=2822add0f2f58584913077a926246e1443f8539d559ee4499b70c9c3ebf35035","isPaidAndBannersEnabled":false}
Приёмная
Diana Zabelina

Мой аккаунт на «Госуслугах» взломали — поддержка не смогла ничего предпринять

12 мая меня взломали на официальном сайте государственных услуг. На портале подтвержденная учетная запись, а это значит, что там хранятся:

• Электронная подпись, при помощи которой можно делать любые операции с недвижимостью
• Данные паспорта, ИНН, СНИЛС, ДМС, ОМС и прочих документов.
• Данные карт разных банков
• Копии и оригиналы заявлений в разные гос. структуры, где указаны все возможные личные сведения, включая передвижения, все контакты с гос органами, и прочее прочее…

Хронология событий:

1. Ровно в 17:00 на мобильный телефон было получено смс сообщение от госуслуг с текстом «Ваш номер телефона был изменен и не может использоваться для входа».

2. После прочтения смс, тут же зашла на сайт госуслуг через компьютер. Было это в 17:03. В это же время, понимая что это мошенничество, быстро меняю номер телефона на свой обратно и параллельно пытаюсь дозвониться до Госуслуг по номерам, указанным в интернете. 3. Также параллельно, дозваниваясь до Госуслуг, в 17:05 меняю пароль на сайте. Все это время я продолжаю висеть на «дозвоне», где система меня кидает от одного пункта меню в другой. Заканчивается это тем, что звонок прерывается на стороне Госуслуг.

4. В это же время, в 17:05, поступает второе смс сообщение с текстом об изменении номера телефона. Так как нахожусь в это время в режиме активной сессии на госуслугах, я это вижу, и опять же мгновенно меняю номер телефона на свой обратно.

5. Начиная с 17:05 делаю еще несколько попыток дозвона по разным номерам госуслуг, где снова упираюсь в конечные выборы меню и как следствие обрыв связи.

6. Пока продолжаются безуспешные попытки дозвона, в 17:09 пишу в чат госуслуг из личного кабинета с текстом «срочно перезвоните» и информацией о том, что кто-то меняет мой номер прямо сейчас и пытается воспользоваться моими персональными данными. Ответа от оператора нет. Телефоны все также молчат, перекидывая по меню.

7. В 17:11 от моего имени, при мне в этот же открытый чат приходит сообщение от того, кто взломал мой аккаунт с текстом «а, ок, выхожу из системы, поменяйте пароль».

Дозвониться до госуслуг я смогла лишь через 10 минут после всех произошедших событий. Оператор на линии, на просьбы «заблокировать аккаунт», «насильно прервать все активные сессии» или сделать "ХОТЬ ЧТО-НИБУДЬ" ответил «Мы не можем ничего сделать, сессия у мошенника автоматически прервется через 24 часа». На мой комментарий, что за это время я останусь без недвижимости, карт и с кредитом на мое имя, мне было отвечено «ну мы составим обращение в тех. поддержку». Понятное дело, я сделала несколько попыток понять как и что произошло. Вот что выяснила:

На госуслугах есть кнопка «Действия в системе», там я увидела, что мошенник впервые попал в мой аккаунт в 16:29, то есть за пол часа до того, как он «решил» изменить номер телефона. Попал он через систему «Центр обработки персональных данных Всероссийской политической партии «ЕДИНАЯ РОССИЯ», к которой я никакого отношения никогда не имела.
В графе «Выданные разрешения» я обнаружила, якобы мною выданное разрешение центру обработки перс данных партии «ЕР» на использование всех моих данных, зарегистрированных на госуслугах (этого также не делала)
Ну и дополнительно. Помимо этого, оказалось, что мошенник успел написать оператору в чате до меня (скрины ниже).

Общий итог для меня выглядит так:
1. Мошенники могут пользоваться сторонними сервисами для входа в личный кабинет Госуслуг. Это так? Если нет, прошу дать ответ.
2. В случае если аккаунт взломан – надеяться на помощь Госуслуг к сожалению нет смысла. Мне они не помогли. Это уже факт.
3. Возможно вскоре я «прочувствую» на себе чем грозит слив всех данных и документов в третьи руки. А пока я просто не знаю, что делать дальше. Искренне не знаю и всех призываю – используйте сложные пароли, устанавливайте двухфакторную аутентификацию, не храните личные данные на любых сайтах.
P.S. Скрины выкладываю. Мат заблюрила.

{ "author_name": "Diana Zabelina", "author_type": "self", "tags": ["\u0436\u0430\u043b\u043e\u0431\u0430\u0433\u043e\u0441\u0443\u0441\u043b\u0443\u0433\u0438"], "comments": 573, "likes": 357, "favorites": 112, "is_advertisement": false, "subsite_label": "claim", "id": 245694, "is_wide": false, "is_ugc": true, "date": "Thu, 13 May 2021 20:08:00 +0300", "is_special": false }
0
573 комментария
Популярные
По порядку
Написать комментарий...
15

 Мы не можем ничего сделать, сессия у мошенника автоматически прервется через 24 часа

ААХАХАХ
Вот молодец разработчик, сделал авторизацию на jwt, добавил небольшой бонус к производительности! Очень полезная вещь кек

Ответить
3

Хаха, сэкономил на запросах к БД

Ответить
3

Либо сделал jwt + refresh/access + блеклист в бд (как и надо делать по уму, но только при супер нагрузке), но при этом время жизни access поставил 24 часа. В итоге - кокок не забанить. А пользовали бы обычное - все было бы ок. 

Ответить
0

Блэклист в бд слишком дорого, мне кажется, если только в блумфильтре проверять сначала.

Ответить
1

Блеклист удобно делать в redis-е, с expiration-ом таким же, как и у добавляемого в блеклист jwt. Само зачистится, когда будет неактуально.

Ответить
0

Почитал вчера, хранить вайтлист рефреш токенов в бд самый нормальный вариант по идее, с блэклистами можно не заморачиваться.

Ответить
1

Тыкаться в БД и использовать JWT взаимоисключающие штуки. Если уж куда-то тыкаться то в тот же редис или мемкеш. Вообще я бы не стал использовать JWT для чего-то серьезного. Если сделать также безопасно как сессии в куках и в бд, то теряется всё преимущество jwt. Тут пара статей:
http://cryto.net/~joepie91/blog/2016/06/13/stop-using-jwt-for-sessions/
http://cryto.net/~joepie91/blog/2016/06/19/stop-using-jwt-for-sessions-part-2-why-your-solution-doesnt-work/

Ответить
0

Я тоже не люблю jwt, но это не взаимоисключающие штуки. Почитай внимательнее про access-refresh. Тыкаться надо не каждый раз, а только на рефреш. Тогда это дает и контроль, и производительность. Но это меньше контроля, чем сессия в бд; а производительность такая редко нужна.

Ответить
0

Я знаю про refresh токены. Проблемы возникают когда нужно отозвать токены (и рефреш и аксес), для этого приходится вводить блеклисты токенов (в бд, в редис или в мемкеш, неважно), и при каждом запросе нужно проверять не находится ли токен в блеклисте. То есть мы переизобретаем сессии, которые также можно хранить в мемкеш или редисе. В общем, если не нужно отзывать токены, jwt - то что доктор прописал, а если нужно - то мы теряем преимущества токенов (проверка подписи без обращения в хранилище)
Можно еще установить очень короткое время жизни access токена, но тогда мы получаем доп нагрузку на его обновления.

Ответить
0

Дак никто не отзывает access токены, в том и суть. И в хранилище никто не ходит для access токена (по-хорошему).

Ответить
2

Допустим, вы выдали access токен сроком жизни 24 часа (прямо как этой статье). Хацкер им завладел, что вы будете делать?

Ответить
1

Ничего. Разве что сделаю его на час например. 
Ты точно читаешь мои сообщения? Я сказал, что не фанат жвт и не юзаю его. 
Я говорю о том, как его применяют. Его применяют так, что никто не ходит чекать access токен, и следовательно никак не может контролировать такое. 

Ответить
1

Я не говорю что вы фанат жвт) Я спорю с тем что применяют его по всякому, а не только так как вы описали. В этой статье админы утверждают что не могут отозвать авторизацию 24 часа, это же дырень, и без костылей с блеклистами тут не обойтись.

Ответить
2

Вот тут разобраны все кейсы

Ответить
0

Вся производительность пойдет лесом, если злоумышленник завалит вас рефреш-запросами, хоть бы даже с одним и тем же рефреш-токеном.

В общем, получите то же, что сессии в базе (что тоже не очень идея). Redis для таких задач куда лучше подходит.

Ответить

Блоги компаний

Комментарии
null