Схема взлома аккаунта на ГосУслугах
Понимаю, что тема с краю от Хабра стоит, но все же как сценарий для служб безопасности, да и процедур контроля ОЗОНА и МТС - имеет место быть. Да и лишний раз предупредить тоже стоит! Звонок от «Технический отдел» с телефона +7 (924) 420-64-71 (по whatsup) Уже это должно было насторожить, но...
Аутентификация через ЕСИА: ключевые аспекты интеграции
ЕСИА даёт возможность пользователям зайти в государственный или негосударственный сервис, чтобы подать заявление, сдать отчет или обратиться в органы власти. ГИС ЖКХ, Работа России, портал ФНС России, ЦИАН и Авто.ру - этот список ежегодно пополняется. Для успешного подключения к системе важно...
«Теперь будем ходить в интернет через Госуслуги»: знакомство с российскими TLS-сертификатами
Начиная с середины 2022 года крупнейшие удостоверяющие центры прекратили выпуск и продление сертификатов для доменных зон .ru и.рф, а также сайтов российских компаний. Некоторые уже выданные сертификаты были отозваны. Теперь у пользователей при переходе на такие сайты каждый раз появляется...
Госуслуги поощряют сбор логинов-паролей пользователей?
Недавно одно популярное приложение с Android потребовало у меня авторизация через Госуслуги. Сделало оно это очень просто - в своём окне оно запросило у меня логин-пароль от Госуслуг. То есть, я ввожу эти данные в окне приложения, они утекают создателям приложения, которые в этот момент могут...
Может ли быть уязвимость в дизайне, контенте и CSS и разбор такой уязвимости(?) на Госуслугах
Кажется, что уязвимость - штука техническая, но на Госуслугах есть интересная комбинация уязвимостей (ну или, скажем, черт, особенностей) в сфере CSS, дизайна, юзабилити, которые мошенники используют в социальной инженерии. Узнал я про это из вот этого ролика на ютубе -...
Какими приключениями грозит невключенная двухфакторная авторизация на Госуслугах
Я был достаточно неосмотрителен, чтобы эта история произошла со мной, но, возможно, достаточно технически грамотен, чтобы рассказать ее детали, сдерживая эмоции и понимая, что происходит, в отличии от большинства людей, оказашимихся в этой ситуации еще и с ощущением полного неведения. Когда...
Что может сделать злоумышленник зная пароль от Госуслуг
На днях один мой знакомый получил звонок от работника ФНС с целью уточнить некоторые данные по декларации 3-НДФЛ на возврат бюджетных денег за лечение. Удивлению не было предела: мало того, что декларацию эту он не подавал (!) так и возврат уже был проверен и одобрен (!!), возврат средств...
О QR-кодах и социальной инженерии
Привет, Хабр. В этом посте я хочу немного рассказать о том, как люди пытались дурить систему ковидных QR-кодов в России. Часть методов общеизвестна, часть — не так популярна, некоторые векторы атаки открыты до сих пор, разве что актуальность уже не та. За скобками останется совсем уж криминал вроде...
Сертификат COVID-19 не найден: Почему на самом деле перестали работать QR-коды о вакцинации
Как нас обманывает Минцифры и Ростелеком и почему теперь нужно заново генерировать сертификаты COVID-19 Читать далее...
«Безопасность» Госуслуг: пока кто-то развенчивает мифы, вот вам реальность
А вы знали, что электронная подпись юридического лица дает возможность заходить на "Госуслуги" частного лица и .... делать почти все, что угодно (в рамках возможностей ЛК), например, смотреть личные данные (недвижимость, обращения, заявления, налоги) и т. п.? А что в Ваш личный кабинет на...
QR за QR: новый принцип безопасности социальных взаимодействий
Ходил я давеча на оффлайн-конференцию. На входе меня попросили показать QR-код и паспорт. Все прошло хорошо, однако, вопрос: “а кто вообще, эти люди, которым я должен показать свой основной документ, свои персональные данные?”, меня не оставил. Желающие узнать как я пришел к идее «протокола»...
Госуслуги, уязвимость сессии
С августа 2021 года (по информации знакомого, работающего в гос.центре) на портале госуслуг (далее ЕПГУ) ввели ограничения/усложнения на самостоятельную привязку мобильного номера телефона к действующей, подтвержденной учетной записи пользователя. Подобными действиями увеличив на сотрудников...
Минцифры: в ближайшее время пользователи Госуслуг получат доступ к электронным медкартам
Россиянам откроют доступ к электронной медкарте на "Госуслугах", сообщает ТАСС со ссылкой на главу Министерства связи и массовых коммуникаций России Максута Шадаева. Также в России планируют внедрить сервисы телемедицины и такие новые технологии, как датчики постоянного мониторинга состояния...
Взлом госуслуг: мифы и реальность
В последнее время в СМИ обсуждаются множественные случаи взлома портала "Госуслуги". В этой статье я постараюсь выяснить что из этого миф и выдумки, а что является правдой, а для этого придется самому взломать госуслуги. Взломать госуслуги...
Социальные сети оказались безопаснее порталов государственных услуг
Мы протестировали порталы государственных услуг по новым методикам, оценивающим надежность HTTPS-соединения с ними и уровень защиты от XSS, а также сравнили их с сайтами соцсетей, банка, транспортных и сервисных компаний. Результат в чем-то предсказуемый (с безопасностью электронных госуслуг все...
Рутокен ЭЦП 2.0 3000, COVID-19, УЦ Росреестра и операции с Росреестом онлайн ver. 2.0
Привет, хабровчане! К написанию данной статьи меня подтолкнули сразу несколько вещей: Должок перед компанией «Актив», которая любезно предоставила мне их новый крипто-токен Рутокен ЭЦП 2.0 модификации 3000. Nastya_d, тэгну вас, т.к. вы последняя, кто постил от лица компании COVID-19, который...
Цены российского черного рынка на пробив персональных данных (плюс ответ на ответ Тинькофф Банка)
В конце прошлого года я делал обзор цен черного рынка на российские персональные данные, и вот пришло время его обновить и дополнить. Заодно посмотрим изменение цен и предложений на этом «рынке», а также реакцию «Тинькофф Банка» на вот это вот все. Поехали... Читать дальше →...
Опять сотни тысяч платежей граждан в ГИБДД и ФССП находились в открытом доступе
Помните я писал на Хабре и у себя в Telegram-канале, как в открытом доступе оказались подробности платежей в пользу ГИБДД и ФССП пользователей сайтов оплатагибдд.рф, paygibdd.ru, gos-oplata.ru, штрафов.net и oplata-fssp.ru? Только не надо смеяться, это вовсе не шутка — тот же самый сервер с данными...
Назад