У петербуржца украли телефон с установленными Госуслугами, а через полтора года на него оформили кредиты на 1 млн рублей Статьи редакции
Мошенники получили доступ к его данным и оформили несколько кредитов в банках и займов в МФО.
В 2020 году у петербуржца Юрия украли iPhone, на котором были установлены Госуслуги — воры успели вывести 3 тысячи рублей со счетов одного из банков, но остальные счета удалось защитить, пишет «Фонтанка».
Юрий перевыпустил карты, сменил пароли и начал пользоваться Госуслугами на новом телефоне — но не подключил двухфакторную аутентификацию по SMS. Мошенники смогли воспользоваться уязвимостью сервиса — так называемым «вечным токеном».
Как поясняет издание, после ввода пароля и логина при первом заходе в Госуслуги устройству выдаётся персонализированный токен, который позволяет в дальнейшем быстро заходить в учётную запись. А после кражи Юрий не отвязал телефон от сервиса.
Как мошенники украли деньги
В июне 2021 года Юрия «выкинуло» из учётной записи на смартфоне. Он успел зайти в профиль на компьютере и увидел, что его данные изменены, а затем его выкинуло и из сайта — и больше он не смог зайти в неё ни с одного устройства.
«Видимо, мой смартфон какое-то время ходил по рукам, пока не попал к профессионалам, которые запустили Госуслуги: токен в них оставался валидным, и система его приняла», — заявил он.
26 июня мошенники оформили от имени Юрия кредитную карту в «Сбербанке» и вывели с нее 420 тысяч рублей на карту банка ПСБ. А ещё взяли несколько займов по 30 тысяч рублей в микрофинансовых организациях. Также они позвонили в «Мегафон», который обслуживал Юрия, и сменили контактный номер — на него были завязаны банки и коды подтверждения.
После этого Юрий обратился в полицию, а после открытия уголовного дела в июле получил рассылку о кредитах от «Газпромбанка», в котором у него не было счетов. В отделении банка он узнал, что на его имя выдали дебетовую карту человеку, у которого был паспорт со всеми данными Юрия — но с чужим фото. Карта была нужна для вывода 420 тысяч рублей — их сняли в одном из банкоматов. Юрий получил все выписки и написал в банк заявление о мошенничестве.
Юрий обратился в «Объединенное кредитное бюро» и получил выписку по своей кредитной истории, связанной со старым паспортом. Выяснилось, что 28 июня он якобы получил в «Совкомбанке» кредит наличными на 600 тысяч рублей и кредитку с лимитом в 30 тысяч рублей. Таким образом, ущерб составил больше 1 млн рублей.
В «Совкомбанке» выяснили, что для оформления кредита не понадобился даже поддельный паспорт — его получали удалённо с помощью электронно-цифровой подписи. Подпись выдали по данным об ИНН и СНИЛС, доступным из Госуслуг. Отозвать её можно только в том центре, где её выдали, а информация есть у банка и Госуслуг — Юрий направил соотвествующие запросы, но ответа не получил.
14 июля две микрофинансовые организации ответили на обращения Юрия и признали недействительными два кредита на 30 тысяч рублей. Как отмечает «Фонтанка» вопрос с банками придётся решать через суды.
Сейчас идет расследование дела, а сам Юрий признан потерпевшим. При этом теперь он боится использовать любые цифровые приложения и где-либо «светить» свой новый паспорт. Он, в частности, не хочет верифицировать свои данные в МФЦ, так как тогда они окажутся на Госуслугах.
В «Сбербанке» «Фонтанке» рассказали, что по ситуации проводится проверка, о результатах которой банк не имеет права сообщать третьим лицам. Такой же ответ дали и в Минцифры. В «Мегафоне» вернули прежний номер и проверили всю историю обращений.
Недавно взломали мои госуслуги от партии ЯдРо и зарегались на голосование, электронный адрес вернуть на госуслугах уже месяц как не могу, зашел на сайт голосования и хотел узнать за кого ж я проголосовал, но для этого нужен блокчейн, который выслали на левую почту.. Бинго бля!!
Есть сильное желание стереть госуслуги, хоть и подключил двуфакторку.. Но риски как то высоки
Комментарий недоступен
Ну это же просто выигрышный билет, голосование есть, а вот за кого я отдал СВОЙ голос посмотреть нельзя, какое раскрытие???? еще раз пишу СВОЙ! голос. По факту блокчейн сработал на ура, секретность настока велика что результат голосования нарисовать стало еще проще.. Подкрепив заявление высокими технологиями.
Комментарий недоступен
Без стороннего аудита и полностью в закрытой системе секретность электронного голосования максимально мифическая.
Где и как получить подтверждение, что запросы не логируются?
То, что публично информация недоступна, абсолютно не значит, что сохраняется анонимность.
Политических онлайн голосований в целом не должно быть. Допустимо только по тем вопросам, где фальсификации не имеют никакого смысла.
Вообще, сделать управляемое голосование на госуслугах сложно просто потому, что сами госуслуги пилит …дцать человек и голосование вообще не первый и не единственный функционал. Не знаю, приходилось ли работать с проектами, но тайно запилить «пасхальные яйца» в такой сервис как госуслуги.. звучит фантастически. Да так, чтобы все работало как надо и никто не знал.. Реальней бюджетников заставить голосовать в кабинете директора со смартфона.
Госуслуги это лишь точка входа.
Куда там дальше шлют и как обрабатывают запросы — публично неизвестно.
Какой-то идентификатор точно передается, если он без ПД, то мапнуть имя доступ или удобное апи(ведь госуслуги тоже независимый аудит не проходят) труда тоже не составит. Плюс нельзя исключать просто передачу всякой мета информации, по которой можно было бы явно идентифицировать избирателя.
Да все на одних серверах живет,
Не думаю, что госуслуги вместе с ДЭГ хостятся.
тут важно определиться: а тайно от кого?
от граждан – запросто. От разработчиков – проблематично, но такая задача может и не стоять.
Думаете, разработчики не граждане? Да там такой прослой сотрудников/подрядчиков/чиновников/… ну это административно просто не та история, чтобы быть настолько управляемой, как вам может показаться. Не идеализируйте темную сторону, бардак везде и никто даже пытаться не будет такое протащить, есть куда более примитивные способы использования сервиса с.. назовём это «социальной инженерией», бюджетного электората.
Бардак бардаком, а РКН вот успешно блокировать сайты научился, например.
Да и почему уровень моего доверия к непрозрачной системе должен формироваться из "ну там бардак, они не могут ничего плохого сделать, слишком сложно"
Как РКН блокировал Telegram все помнят. Понятно, что со временем, числом и ресурсами можно сделать многое, но рассчитывать в тайне без утечек реализовать сервис противоположный тому, что публично оплачен и задекларирован в тех.задании, при участии десятков и сотен людей к проекту - это наивно и не сильно нужно, так как и нормально работающий инструмент потом можно использовать не по целевому сценарию без фатальных рисков, которые поставят под сомнение легитимность власти и результаты выборов. Ну это просто глупо и вредно и точно где-нибудь да вылезло бы, у нас все-таки не КНДР.
Во-первых, что бы подменить голос достаточно добавить 3 строчки кода перед записью в "блокчейн". Это может один человек сделать.
Во-вторых, десятков и сотен человек? У нас с тиках десятки тысяч человек, но утечки о происходящем там - только от наблюдателей.
А в третьих, "реализовать сервис противоположный тому, что публично оплачен и задекларирован в тех.задании"? Ну камон, у нас примерно любой сервис реализует прямо противоположное созданному, начиная с тех же блокировок сайтов для борьбы с детским порно и наркотиками и камер на выборах, в которые ставились что бы удобно было смотреть народу, а теперь нельзя смотреть. Я вот честность секретного исходного кода приложения верю не больше, чем в честность секретных камер или доказательную базу секретных дел в судах.
Так телеграм боролся, это огромная разница.
По твоей логике и фальсификаций на выборах быть не может, потому что сложно.
А что, социальная инженерия менее заметная, чем голос разработчика с совестью?)
Каждые выборы и праймериз учителя и другие сотрудники бюджетных организаций жалуются, что из заставляют голосовать - угрозами, за шоколадку и т.д. Все это и сейчас утекает в СМИ (без проблем найдёте в поисковике) и считается административным ресурсом, перегибами на местах, мобилизацией электората и т.д. С госуслугами все сильно упрощается, даже фото не надо просить у сотрудников - голосуй в кабинете директора и все.
Комментарий удален модератором
Это само собой. Вопрос в том сколько приложение сверху накидывает, оправдывая странный результат "перекосами на местах"
Комментарий недоступен
Так его и не должно быть.
Особенно когда режим не похож на реальную демократию. С трехдневными голосованием на пеньках/багажниках.
Голосование с КОИБами и с видеонаблюдением было хорошей темой.
На УИКах с КОИБами практически не было вбросов, видеонаблюдение нормально позволяло контролировать процесс, а вот дальнейшие процедуры вызывают массу вопросов.
В онлайн голосовании же нет ничего прозрачного для избирателей. А вот для организатора голосования большое пространство для фальсификаций, которые можно осуществлять незаметно по разным алгоритмам
Выбросов не было(хотя и были), но зато карусели удвоили.
Коибы только пересчет защищали, а остальное только прикрывали.
Комментарий удален модератором
Ну это ж здорово по вашему да?!
Это сайт предварительного голосования по Единой России. После голосования даётся адрес блокченйна и транзакция (номер какой-то), по нему можно узнать за кого ты голосовал. Только вот эта транзакция на почту не высылается, а даётся 1 раз сразу после голосования, если не сохранить, то уже не получить. Говорю, так как юзал эту систему в мае этого года
Комментарий недоступен
Нельзя, да. А должно быть можно