У петербуржца украли телефон с установленными Госуслугами, а через полтора года на него оформили кредиты на 1 млн рублей Статьи редакции
Мошенники получили доступ к его данным и оформили несколько кредитов в банках и займов в МФО.
В 2020 году у петербуржца Юрия украли iPhone, на котором были установлены Госуслуги — воры успели вывести 3 тысячи рублей со счетов одного из банков, но остальные счета удалось защитить, пишет «Фонтанка».
Юрий перевыпустил карты, сменил пароли и начал пользоваться Госуслугами на новом телефоне — но не подключил двухфакторную аутентификацию по SMS. Мошенники смогли воспользоваться уязвимостью сервиса — так называемым «вечным токеном».
Как поясняет издание, после ввода пароля и логина при первом заходе в Госуслуги устройству выдаётся персонализированный токен, который позволяет в дальнейшем быстро заходить в учётную запись. А после кражи Юрий не отвязал телефон от сервиса.
Как мошенники украли деньги
В июне 2021 года Юрия «выкинуло» из учётной записи на смартфоне. Он успел зайти в профиль на компьютере и увидел, что его данные изменены, а затем его выкинуло и из сайта — и больше он не смог зайти в неё ни с одного устройства.
«Видимо, мой смартфон какое-то время ходил по рукам, пока не попал к профессионалам, которые запустили Госуслуги: токен в них оставался валидным, и система его приняла», — заявил он.
26 июня мошенники оформили от имени Юрия кредитную карту в «Сбербанке» и вывели с нее 420 тысяч рублей на карту банка ПСБ. А ещё взяли несколько займов по 30 тысяч рублей в микрофинансовых организациях. Также они позвонили в «Мегафон», который обслуживал Юрия, и сменили контактный номер — на него были завязаны банки и коды подтверждения.
После этого Юрий обратился в полицию, а после открытия уголовного дела в июле получил рассылку о кредитах от «Газпромбанка», в котором у него не было счетов. В отделении банка он узнал, что на его имя выдали дебетовую карту человеку, у которого был паспорт со всеми данными Юрия — но с чужим фото. Карта была нужна для вывода 420 тысяч рублей — их сняли в одном из банкоматов. Юрий получил все выписки и написал в банк заявление о мошенничестве.
Юрий обратился в «Объединенное кредитное бюро» и получил выписку по своей кредитной истории, связанной со старым паспортом. Выяснилось, что 28 июня он якобы получил в «Совкомбанке» кредит наличными на 600 тысяч рублей и кредитку с лимитом в 30 тысяч рублей. Таким образом, ущерб составил больше 1 млн рублей.
В «Совкомбанке» выяснили, что для оформления кредита не понадобился даже поддельный паспорт — его получали удалённо с помощью электронно-цифровой подписи. Подпись выдали по данным об ИНН и СНИЛС, доступным из Госуслуг. Отозвать её можно только в том центре, где её выдали, а информация есть у банка и Госуслуг — Юрий направил соотвествующие запросы, но ответа не получил.
14 июля две микрофинансовые организации ответили на обращения Юрия и признали недействительными два кредита на 30 тысяч рублей. Как отмечает «Фонтанка» вопрос с банками придётся решать через суды.
Сейчас идет расследование дела, а сам Юрий признан потерпевшим. При этом теперь он боится использовать любые цифровые приложения и где-либо «светить» свой новый паспорт. Он, в частности, не хочет верифицировать свои данные в МФЦ, так как тогда они окажутся на Госуслугах.
В «Сбербанке» «Фонтанке» рассказали, что по ситуации проводится проверка, о результатах которой банк не имеет права сообщать третьим лицам. Такой же ответ дали и в Минцифры. В «Мегафоне» вернули прежний номер и проверили всю историю обращений.
Недавно взломали мои госуслуги от партии ЯдРо и зарегались на голосование, электронный адрес вернуть на госуслугах уже месяц как не могу, зашел на сайт голосования и хотел узнать за кого ж я проголосовал, но для этого нужен блокчейн, который выслали на левую почту.. Бинго бля!!
Есть сильное желание стереть госуслуги, хоть и подключил двуфакторку.. Но риски как то высоки
Комментарий недоступен
С какой целью мне подать в суд и просрать несколько дней жизни? Чтобы доказать что я прав молодец, или мне может компенсация положена рублей 500?
Комментарий недоступен
Да не просто выглядит, а оно самое и есть. Заливает прямо как Троцкий, тем более, что часть контингента, увидев слова "Единая Россия" поверит в любой бред против неё.
Было уже 3 статьи на VC про взлом госуслуг через эту хню с ядром. Не знаю, реальная там партия или нет, но факт, скринов полно (ручками на вк поищете статью), где написано "вход через"
Комментарий удален модератором
А как же патриотизм? Нужно же доказать, что суды в России есть и написать патриотическую статью. Никто не верит, что приемное отделение пыточных камер - это суд. Ну хоть кто-то должен взять на себя гражданский долг, а то легко говорить, что суды не работают, а вы сначала докажите, прежде чем говорить. А то наше государство-человек, пудрое и плагородное существо, подаст на вас в суд за клевету, за то что вы с пренебрежением относитесь к его телевизионному труду ртом и губами. А может вы вообще украинец или американец. Или человек из недружественного государства, с Чехии, Голландии, за что вас надо было бы посадить, но наш государство добрый!!
Выпил, в комментарии не пиши.
Не суди людей по себе, только о выпивке и думаешь, алкаш.
А кто придумал эти "недружественные" государства? Кто-то за меня может решить какое государство мне недружественно? Есть какой-то официальный реестр недружественных государств? Для меня все государства дружественные, кроме Китая, Северной Кореи и других самопровозглашенных автократий.
Так известно же - грешные бояре придумали. Ну не сам святейший же? Он свой крест несет и боится, что его на нем увековечат, ему придумывать не с руки.
Комментарий удален модератором
Комментарий недоступен
Никто ничего за участие не давал, откуда дровишки?
Комментарий недоступен
Пруф ввиде чего вам нужен?? Ввиде левои почты из челябинска в моих госуслугах или то что нельзя посмотреть результаты выборов? Или то что это не единичный случай взлома и в истории авторизаций сайт голосования.. Ну а так то я перестраховался нет же партии ЯдРо
Вот по этому и не единичный, что большинство рассуждает в формате «а мне пох, и времени своего жаль что бы разбираться»
а в стране единорогов миллионы людей бы сразу в суд пошли? ну слава богу что у нас такого нету LOL
Комментарий недоступен
Ну это же просто выигрышный билет, голосование есть, а вот за кого я отдал СВОЙ голос посмотреть нельзя, какое раскрытие???? еще раз пишу СВОЙ! голос. По факту блокчейн сработал на ура, секретность настока велика что результат голосования нарисовать стало еще проще.. Подкрепив заявление высокими технологиями.
Комментарий недоступен
Без стороннего аудита и полностью в закрытой системе секретность электронного голосования максимально мифическая.
Где и как получить подтверждение, что запросы не логируются?
То, что публично информация недоступна, абсолютно не значит, что сохраняется анонимность.
Политических онлайн голосований в целом не должно быть. Допустимо только по тем вопросам, где фальсификации не имеют никакого смысла.
Вообще, сделать управляемое голосование на госуслугах сложно просто потому, что сами госуслуги пилит …дцать человек и голосование вообще не первый и не единственный функционал. Не знаю, приходилось ли работать с проектами, но тайно запилить «пасхальные яйца» в такой сервис как госуслуги.. звучит фантастически. Да так, чтобы все работало как надо и никто не знал.. Реальней бюджетников заставить голосовать в кабинете директора со смартфона.
Госуслуги это лишь точка входа.
Куда там дальше шлют и как обрабатывают запросы — публично неизвестно.
Какой-то идентификатор точно передается, если он без ПД, то мапнуть имя доступ или удобное апи(ведь госуслуги тоже независимый аудит не проходят) труда тоже не составит. Плюс нельзя исключать просто передачу всякой мета информации, по которой можно было бы явно идентифицировать избирателя.
Да все на одних серверах живет,
Не думаю, что госуслуги вместе с ДЭГ хостятся.
тут важно определиться: а тайно от кого?
от граждан – запросто. От разработчиков – проблематично, но такая задача может и не стоять.
Думаете, разработчики не граждане? Да там такой прослой сотрудников/подрядчиков/чиновников/… ну это административно просто не та история, чтобы быть настолько управляемой, как вам может показаться. Не идеализируйте темную сторону, бардак везде и никто даже пытаться не будет такое протащить, есть куда более примитивные способы использования сервиса с.. назовём это «социальной инженерией», бюджетного электората.
Бардак бардаком, а РКН вот успешно блокировать сайты научился, например.
Да и почему уровень моего доверия к непрозрачной системе должен формироваться из "ну там бардак, они не могут ничего плохого сделать, слишком сложно"
Как РКН блокировал Telegram все помнят. Понятно, что со временем, числом и ресурсами можно сделать многое, но рассчитывать в тайне без утечек реализовать сервис противоположный тому, что публично оплачен и задекларирован в тех.задании, при участии десятков и сотен людей к проекту - это наивно и не сильно нужно, так как и нормально работающий инструмент потом можно использовать не по целевому сценарию без фатальных рисков, которые поставят под сомнение легитимность власти и результаты выборов. Ну это просто глупо и вредно и точно где-нибудь да вылезло бы, у нас все-таки не КНДР.
Во-первых, что бы подменить голос достаточно добавить 3 строчки кода перед записью в "блокчейн". Это может один человек сделать.
Во-вторых, десятков и сотен человек? У нас с тиках десятки тысяч человек, но утечки о происходящем там - только от наблюдателей.
А в третьих, "реализовать сервис противоположный тому, что публично оплачен и задекларирован в тех.задании"? Ну камон, у нас примерно любой сервис реализует прямо противоположное созданному, начиная с тех же блокировок сайтов для борьбы с детским порно и наркотиками и камер на выборах, в которые ставились что бы удобно было смотреть народу, а теперь нельзя смотреть. Я вот честность секретного исходного кода приложения верю не больше, чем в честность секретных камер или доказательную базу секретных дел в судах.
Так телеграм боролся, это огромная разница.
По твоей логике и фальсификаций на выборах быть не может, потому что сложно.
А что, социальная инженерия менее заметная, чем голос разработчика с совестью?)
Каждые выборы и праймериз учителя и другие сотрудники бюджетных организаций жалуются, что из заставляют голосовать - угрозами, за шоколадку и т.д. Все это и сейчас утекает в СМИ (без проблем найдёте в поисковике) и считается административным ресурсом, перегибами на местах, мобилизацией электората и т.д. С госуслугами все сильно упрощается, даже фото не надо просить у сотрудников - голосуй в кабинете директора и все.
Комментарий удален модератором
Это само собой. Вопрос в том сколько приложение сверху накидывает, оправдывая странный результат "перекосами на местах"
Комментарий недоступен
Так его и не должно быть.
Особенно когда режим не похож на реальную демократию. С трехдневными голосованием на пеньках/багажниках.
Голосование с КОИБами и с видеонаблюдением было хорошей темой.
На УИКах с КОИБами практически не было вбросов, видеонаблюдение нормально позволяло контролировать процесс, а вот дальнейшие процедуры вызывают массу вопросов.
В онлайн голосовании же нет ничего прозрачного для избирателей. А вот для организатора голосования большое пространство для фальсификаций, которые можно осуществлять незаметно по разным алгоритмам
Выбросов не было(хотя и были), но зато карусели удвоили.
Коибы только пересчет защищали, а остальное только прикрывали.
Комментарий удален модератором
Ну это ж здорово по вашему да?!
Это сайт предварительного голосования по Единой России. После голосования даётся адрес блокченйна и транзакция (номер какой-то), по нему можно узнать за кого ты голосовал. Только вот эта транзакция на почту не высылается, а даётся 1 раз сразу после голосования, если не сохранить, то уже не получить. Говорю, так как юзал эту систему в мае этого года
Комментарий недоступен
Нельзя, да. А должно быть можно
А что в МФЦ говорят или нет возможности туда дойти?
за кого голосовали- не знаю, но это было ядро