Как стать автором
Обновить

Комментарии 106

А что значит картинка с сообщениями 2006 года?

Этот мопед не его, он просто разместил КПДВ
Этот мопед не его, он просто разместил объяву.
Простите, а что за второй фактор?
Думаю речь о двухфакторной авторизации. Наверное смс-подтверждение при логине.
Да, второй фактор — это смс подтверждение.
Почему не используется факт контроля почты на которую зарегистрирована учетная запись -неизвестно.
Да это вообще аншлаг какой-то. 2017 год. Есть уже наработанные правила. Ну как так — кто там вообще систему пилит?
Пилят, да только не систему.
Турникет стоит? Стоит. Враг не пройдет) Ритуализм в чистом виде)
image
Далее создал почтовый ящик, с этим почтовым ящиком зарегистрировался на сайте госуслуг

Еще есть возможные дыры для утечки в почтовом сервере, ну и каналы связи… Привет Яровой

Странно что утекли (по крайней мере пока) только эти учетные, которые вводились в режиме инкогнито и только по https(вроде как защита какая-никакая).
Из обычного браузера много каких-учетных данных не утекло.

И статья о том, что на госуслугах для удаления достаточно знать учетные данные и всё.
Это жесть! То у нас издаются законы Яровок в стиле «забекапь весь интернет». А тут, когда касается реального дела — данных видите ли нет. Врут наверное)

Двухфакторная авторицация — это ни разу не панацея. Будут проблемы со связью — вообще не авторизуешься. Я как-то с банкингом намучался в условиях когда то связи нет, то СМС не приходит и оно ведь случается, зараза, именно тогда — когда надо прямо сейчас и срочно. Пришлось вообще свалить в другой банк, где СМС можно заменить токеном или криптогенератором. Кстати, подтверждение СМС это давно скомпроментированный метод и давно официально признан небезопасным.

Не могу представить кому могло понадобится удаление учетной записи на сайте госуслуг.

Да поди как всегда — технический косяк или тупое раздолбайство. Но косяк как же признать-то? Это надо выяснить момент и найти своего виновного. А то и хуже — нестыковку в разработке, недостаточную безопасность и т.д. и т.п.
У меня в районе как-то всем налоги пришли двойные «а вы за прошлый год не платили». Ну я-то ещё тот Жук — я им привёз и подарил цветные сканы полученных извещений и уплаченных квитанций за прошлый год :) Мадам помню сильно удивилась, но попытки я присёк сразу, сказав что проверяйте в бухгалтерии по реквизитам, ещё раз я никуда никогда не поеду, за исключением суда ;) А потом через полгода мне знакомый сисадмин сказал, что в налоговой воду на сервер пролили и он помер )))
У нас в налоговой в 2015 году то-ли переходили с одной БД на другую, то-ли обновляли БД. В результате похерили безвозвратно кучу информации по объектам налогообложения. Мне до сих пор налог на авто не пришел за 2015 г., а скоро уже пора и за 2016 платить. Никакой инфы по моему авто на сайте налоговиков нет. Дважды с начала этого года писал им запросы типа «Хочу заплатить налоги и спать спокойно, выставьте мне счет». Отписываются — направили запрос в регистрирующий орган, они должны как-то обменяться информацией с налоговой, т.к. руками теперь ничего нельзя добавить в БД. Пока глухо.
У меня было подобное, но наоборот. Я когда зарегистрировался на nalog.ru (пришлось через почту подтвердить учётку на госуслугах) вообще офигел насколько я богат — две квартиры, три машины =) Естественно дубли. С авто-то быстро разобрались, а вот с дублем кадарстра на недвижимость я боролся полгода. А делать нечего — если всё оставить как есть, то есть нехилая вероятность, что оно так и останется, поэтому раз в месяц кого-то дёргал.

Поэтому не пускайте на самотёк — старайтесь контролировать.
На Вашем месте я бы сохранил сканы/письма в налоговую и их ответы. Что бы потом, если чего, можно было бумажкой кому-нибудь ткнуть в морду, что типа я готов был — вы сами виноваты.
Аналогичная ситуация, причем тоже писал 2 раза — оба раза получил аналогичные вашим ответы («направили запрос, как ответят — посчитаем вам налоги»). Причем второй раз налоговая мне конкретно ответила «по нашим данным, на такое-то число налоговая задолженность у вас отсутствует», на чем я и успокоился. Ответы сохранил в виде файликов (они с ЭЦП) и распечатал в семейный архив.

Будьте осторожны и проконсультируйтесь с юристом. Есть ненулевая вероятность, что вам пропишут по полной: и налоги, и штрафы за просрочку, и все остальное. И возможно даже Верховный суд не поможет, бывали прецеденты.

По поводу штрафов и пеней я им писал, что, т.к. моей вины в отсутствии своевременного начисления налогов нет, то и оплачивать их не желаю, в случае чего… Меня заверили, что штрафов/пеней не будет, а на оплату налога после начисления будет выделен месяц. Все это есть в электронной переписке.
Для случаев, когда связь плохая, есть коды восстановления.
Это Вы про госуслуги или про онлайн-банкинг?
Банкинг.
Для меня вопрос адекватности безопасников и безопасности на этом сайте был окончательно прояснён, когда они раздавили свой сертификат, который нужно было добавить в корневые сертификаты в системе, по HTTP. С тех пор, как видно, изменилось не много.

А как еще его можно было раздавать, если без него "российский" HTTPS не работает?


Раздавать сертификат по HTTP — можно. Главное для пользователя — проверять отпечаток сертификата по альтернативному каналу.

Сертификаты которые ставятся в систему как доверенные авторитетные и предназначены для установки силами обычных пользователей ДОЛЖНЫ раздаваться по https. Я хочу видеть тех людей, которые в состоянии сверить отпечаток без хорошей вероятности ошибки. А вот та часть про альтернативный канал меня особенно впечатлила. Мне даже интересно, что это может быть за канал и как добиться, чтобы вероятность синхронной компрометации обоих была низка, и при этом сохранить так необходимую простоту подключения к системе.

Я не спорю, что распространение сертификатов по незащищённым каналам грех не большой. Но это только при наличии отлаженных и РАБОТАЮЩИХ инструментах проверки подлинности. В реалиях нашего общества, где не что что отпечатки не сверяют, имя скаченного файла не особо то прочитывают и содержимое сертификата не пролистывают, раздавать корневой сертификат по незащищённому каналу преступление, наказание которому РАССТРЕЛ.
Не встречался с таким, наверное было в период становления.
на сайте госуслуг надо в обязательном порядке использовать второй фактор — первый-то не проверяется
Первый фактор — это пароль. Почта как раз была бы возможным вариантом второго фактора, если бы на неё отправлялось подтверждение.
Формально вы правы.
Фактически сначала был запрос на изменение пароля, потом извещение об удаление учетной записи без подтверждения через почту.
Мне кажется это проблема безопасности которую стоит закрыть.
По крайней мере все (насколько могу вспомнить) сервисы имеющие учетную запись используют подтверждение через почту для значимых изменений.
Значит, надо смотреть процедуру изменения пароля. Видимо там можно установить новый пароль НЕ ЗНАЯ предыдущего! Иначе, если бы знали пароль удалили бы сразу без промежуточного действия.
Может, и тут человеческий фактор? Позвонили в техподдержку, и попросили сменить пароль… а что, такое тоже прокатывает.
Самый главный вопрос, кому нафиг нужен доступ на госуслуги стороннего человека? И нафига эту учетку удалять? Думаю, либо сам хороший человек/внук/внучка накосячили либо одно из двух.

У меня как-то увели учетку от одного сайта обменника, подобрали пароль? Но ведь логин тоже подобрать надо… Если и так, то почему нету защиты от брутфорса. Если она есть и у меня сидел вирус(а у меня ведь linux), то почему не поперли других данных, куда более ценных. я к чему это, м***ки повсюду и надо быть на стороже)

Ну очень понятно, почему сделан вывод, что СМС-подтверждение как-то поможет…
Вполне возможно, что нет — так же, как и почта.

НЛО прилетело и опубликовало эту надпись здесь
1. Во избежании сохранения паролей и воздействия на страницу установленными расширениями, а также исключения пересечения с моей записью.
2. Как и всегда — хитрый пароль против подбора, в этом случае не помогло.
3. яндекс
Для полноты картины стоит задать ещё один. (:
4. Используется ли фаервол и антивирус в системе?
4. Используется и то и другое. Компьютер за маршрутизатором.
И теперь на сайт gosuslugi.ru только со вторым фактором.

По работе вынужден часто пользоваться «Госуслугами». Включал «двухфакторную авторизацию» (или, точнее, «двухэтапную проверку входа», как это названо в esia.gosuslugi.ru/profile/user/security), но вынужден был от этого отказаться, поскольку sms приходили с большим запозданием (когда вообще приходили).
Больший недостаток, на мой взгляд, заключается в том, что на Госуслугах на одну и ту же учётную запись привязали как работу с человеком, как с частным лицом, так и как с работником организаций, к которым он привязан. Зачастую функции человека на ресурсах, вход на которые завязан на Госуслуги, выполняет не он лично, а другие сотрудники, которым он делегировал полномочия (скажем, чтобы не закупать много электронных подписей или в случае, когда подписывать должен только сам руководитель, но он всё лично сделать физически не в состоянии). И эти сотрудники могут увидеть (и не только) информацию в разделе личных данных, что, конечно, нежелательно.
Вообще то запрещено делегировать полномочия.
чем запрещено?
Просто у нас в компании заделегировано всё что можно. Надзорные органы не протестуют.
Вообще то запрещено делегировать полномочия.

Вообще-то «Вообще то» пишется не так. Но это к слову. Больше интересует, в каких конкретно случаях «запрещено делегировать полномочия». Желательно поконкретнее, а если будут и пруфы — благодарности нашей не будет предела.
Судя по отсутствию ответов и «минусам» — информация взята из принципа «я понятия не имею, но вижу так».
Доверенности сжечь?
когда подписывать должен только сам руководитель, но он всё лично сделать физически не в состоянии

Отличный план чтобы присесть

Я не юрист и могу гарантировать, что в такой ситуации всё законно со всех сторон (даже при наличии всех официальных распоряжений о праве подписания). Но простая логика подсказывает, что если если руководитель будет лично подписывать все отчёты и все ответы на запросы, то находится на работе ему придётся по 48 часов в сутки, причём своей непосредственной работой заняться он не будет успевать. Виват бюрократии!

присесть

Господа, откуда у вас этот сленг?
и могу гарантировать

* и не могу гарантировать

Извините, опечатка.
Скажите, а вы встречали руководителя, который выдает подчиненным пустые листы с его собственноручной подписью — ну чтобы они к нему не бегали подписывать документы, а сами потом печатали поверх то, что им надо?
Просто в данном случае все обстоит ровно так же…
У секретаря генерального директора есть факсимиле его подписи. И на всякие трешевые бумажки (а ля акт выполненных работ о ремонте фотоаппарата) она ставит эту подпись абсолютно свободно. Выше правильно писали, лично заниматься всем невозможно физически.
Из интернетов вестимо. Была старая новость про полицию, которая потом расползлась на мемы. В новости было как раз про «присесть на бутылочку». Сейчас «присесть» больше ушло к сесть в тюрьму.

http://lukomore.org/lurk/%D0%9F%D0%BE%D1%81%D0%B0%D0%B4%D0%BA%D0%B0_%D0%BD%D0%B0_%D0%B1%D1%83%D1%82%D1%8B%D0%BB%D0%BA%D1%83
Жесть какая…
Я тоже по работе использую госуслуги, но у нас каждый сотрудник входит под своей учёткой, а раздача прав настраивается в админке организации. На любые другие варианты (дать другому учётку «поработать») будет отсыл в известном направлении.
раздача прав настраивается в админке организации

Спасибо за хороший пример. Правда, не «права», а «доступ к системам», но не суть. У вас лично руководитель организации этим занимается? А какова численность коллектива, если не секрет? И на госзакупках, когда там присоединялись к госуслугам, сам лично всех перерегистрировал (для не сталкивавшихся с этим — всех надо было перерегистрировать и начинать мог только руководитель с правильно прописанными на госуслугах инн и снилс)? И на ГИС ЖКХ лично ходит админить (там похожая ситуация с вышеописанной)?

каждый сотрудник входит под своей учёткой

Многие системы требуют входа только с помощью электронной подписи. У вас у всех сотрудников имеются такие подписи и сотрудники имеют соответствующие права, прописанные в этих подписях? Для росреестра там, для пенсионного, для налоговой?

Для понимания — я не говорю, что это правильно; наоборот, я утверждаю, что такая система изначально была неправильно продумана и реализована. Но по факту — не во всех случаях, когда требуется выполнение действия от имени руководителя или иного ответственного лица, имеется возможность это сделать лично этому человеку. Элементарный пример — начальник ушёл в отпуск. С передачей прав заместителю. Предлагаете во всех системах всё переделывать на заместителя? ЕГРЮЛ переписывать? Да только в «электронном бюджете» прохождение изменений ждать дольше придётся, чем продолжительность отпуска.
Работаем только с ГИС ЖКХ, там электронная подпись не требуется, во всяком случае для сотрудников. И, если память не изменяет, от руководителя требовалось только первоначально настроить реквизиты организации, и распределить доступы на пользователей и администраторов, для остальной работы он не нужен.
Если в других областях деятельности всё так сложно — печально…
И, если память не изменяет, от руководителя требовалось только первоначально настроить реквизиты организации, и распределить доступы на пользователей и администраторов

«Иван Иваныч, тут из правительства, как всегда задним числом, прислали распоряжение, надо добавить нашей организации новую функцию, 'Орган местного самоуправления, уполномоченный на ведение программы «Формирование современной городской среды»'; как всегда ещё вчера и вчера же отчитаться. Что значит „я на заседании“? Бросьте эту ерунду, Иван Иваныч; тут речь о Госууслугах!»
А если серьёзно — я очень рад, если ваш руководитель разбирается в веб-сервисах настолько же хорошо, насколько и в том, чем руководит (я надеюсь, что разбирается). Но это не везде и не всегда так.
Тут выше кто-то ёрничал, мол пустую бумажку с подписью не стоит давать. Ну, во-первых, если уж сравнивать, то не пустую бумагу, а скорее ведомость с некоторыми не проставленными цифрами. А во-вторых и главных — контроль со стороны руководителя никто не отменял. Когда руководитель визирует подготовленные в отделах бумаги, он, естественно, не перепроверяет все указанные там данные, но проверить всегда может и должен.
тут из правительства, как всегда задним числом, прислали распоряжение, надо добавить нашей организации новую функцию
Ну и всё, ждём Иван Иваныча из отпуска/командировки. Возможно, конечно, он оставил свои данные на случай (тьфу-тьфу) форсмажора, тому, кому сильно доверяет, но мы (сотрудники) об этом не знаем.
я очень рад, если ваш руководитель разбирается в веб-сервисах настолько же хорошо, насколько и в том, чем руководит
На самом деле там разобраться не сложнее, чем в одноклассниках, с точки зрения авторизации. Ну а предметную область естественно знает. Плюс всегда можно попросить помочь айтишников или кого-там, если что непонятно, не передавая им паролей.
Плюс всегда можно попросить помочь айтишников или кого-там, если что непонятно, не передавая им паролей.

И тут мы задумываемся про наших безопасников, установивших по требованию директора DLP-решение с кейлоггером…
Необходимость ввода кода из смс сообщения привязанного телефона сводит на нет требование директора.
Если, конечно, у вас настроена двухфакторная, и при этом нет DLP и на телефонах.

Пути возможной утечки паролей надо тоже продумывать.
Я говорил про DLP и пароли утекшие через DLP могут не помочь, если учетная запись имеет второй фактор.
DLP на телефонах пока не встречал, наверное они есть.

В описанной истории — личный ноутбук и единственный пользователь/администратор.
Файервол/платный антивирус/обновления ОС /маршрутизатор стоят.
Других потерь не замечено.
И ещё момент к комментарию ниже, но в контексте нашего разговора:
Директора нет — кто может подписывать? Доверенное лицо — а оно возможно?
Я не знаю, возможно или нет, но знаю, что у них есть техподдержка. И если её попинать, да побольнее, то нужный функционал вполне реализуется и внедряется за несколько месяцев.
Директора нет — кто может подписывать? Доверенное лицо — а оно возможно?

Я не знаю, возможно или нет, но знаю, что у них есть техподдержка. И если её попинать, да побольнее, то нужный функционал вполне реализуется и внедряется за несколько месяцев.

А с техподдержкой в виде первой линии я общался. Их пинать (сидящих на государственных деньгах(т.к. это разработка и поддержка чья-то)) нужно иметь большие нервы и время...

С первой линией я тоже общался. Некоторые диалоги на башорг можно выкладывать без изменений.

Если дело не движется, переписка эскалируется вышке, вплоть до того, что через руководство организации и заинтересованных гос.структур на ответственных за всё это безобразие.

Ну, короче, «под лежачий камень вода не течёт». А отношение сотрудников, обычно, «да у них не работает (не реализовано), но это не моя забота, отмаза есть если что».
Это был я, но я не ёрничал.

Если вы даете кому-то доступ к своей учетке в госуслугах, вы по сути даете ему возможность визировать (юридически значимо для вас — то есть вплоть до уголовки именно вам) от вашего лица все, что ему заблагорассудится.
Чем это отличается от пустого листа с отвественной собственноручной подписью — мне непонятно.

Если вы даете подчиненному доверенность на что-то, и он без вашего ведома совершает с ее использованием нечто противоправное — наказывать будут его, а не вас. Вы просто получите некие потери (финансовые, репутационные, временные — может быть много чего). А вот если вы ему дали свою учетку и он что-то крамольного там от вашего имени наподписывал — то претензии будут именно к вам. Электронная подпись юридически так же значима, как и личная.

И именно поэтому давать к ней доступ кому-то кроме себя — крайне неосторожно.
Господа, знаете кого напоминают некоторые участники обсуждения? Людей, написавших обращение и свято уверенных, что их вопросом будет заниматься руководитель организации лично. А что — заявление они писали на его имя, ответ пришёл за его подписью — естественно, он сам всё и делал. И крайне недоверчиво они относятся к тем, кто пытается им пояснить, что руководитель отправил их заявление по компетенции начальнику(ам) отдела(ов), который(е) перенаправил(и) его сотруднику(ам), которые, собственно, и составляли ответ. Потом этот ответ прошёл обратным путём и его подписал руководитель, который сам лично (о ужас!) может и не владеть всеми тонкостями вопроса. Но подписал. И будет, в случае чего, отвечать. Работа у него такая — организация и планирование. И ответственность за работу организации.
Считайте, что это не патриотично, но зависеть работа организации не должна от наличия на месте одного-единственно работника, а должна — от его умения построить работу так, чтобы лично президент начальник ЖКХ не бегал с разводным ключом.
Именно.
Почему никого не удивляет, что жалоба, написанная на деревню Путину, пройдя через администрацию президента и вернувшись, например, муниципалам, получает ответ не за личной подписью Путина, а, скажем, начальника штанопросиживательного отдела местной администрации?

Именно поэтому в любом нормальном документе (или в документации, его сопровождающей) есть приписка «Исп. Такой-то».
Именно поэтому при электронном документообороте начальник перед постановкой визы должен иметь возможность проверить, а Такой-то ли составил документ (привет, электронная подпись Такого-то!). И в случае отсутствия начальника визировать документ должен тогда его заместитель или исполняющий обязанности своей собственной ЭП.

Работа организации должна быть построена именно таким образом.
И именно поэтому необходимость использования подписи Большого Начальника его подчиненными без его ведома должна отсутствовать. В интересах именно этого начальника. Если начальник дает свою электронную подпись посторонним — он не может выстроить соответствующий процесс.

Я так вижу.
Почему никого не удивляет, что жалоба, написанная на деревню Путину, пройдя через администрацию президента и вернувшись, например, муниципалам, получает ответ не за личной подписью Путина, а, скажем, начальника штанопросиживательного отдела местной администрации?

Может потому, что это не так? По всей видимости вы никогда не имели дела с системами обращений граждан, с ссту.рф, «банкоматами» обращений к президенту и т.д.

Именно поэтому в любом нормальном документе (или в документации, его сопровождающей) есть приписка «Исп. Такой-то».

Т.е. все документы, не являющиеся распоряжениями и приказами с вашей точки зрения «ненормальные»?

«Я так вижу» — это замечательно, но спорить, основываясь на своих представлениях, как должно быть, а не на знании, как обстоят дела на самом деле, не очень продуктивно.
Кстати, я не говорю, что все ваши идеи плохи — напротив, если бы некоторые из них воплотились — было бы замечательно. Но… а вы не хотели бы поработать в системе органов местного самоуправления? Может быть, что-то и изменили.
Хорошо, кого-то такое удивляет.

Да, с моей точки зрения — для любого документа должна быть возможность проверки, а кто ж его создал.
Не всегда эти данные должен видеть конечный получатель, но у руководителя должна быть возможность верифицировать путь документа.
В идеале — и проверить, вносились ли в него несанкционированные изменения. Электронная подпись при этом такие возможности дает.

Я не спорю с тем, что во многих и многих местах многое организовано ректальным способом, что вы. Я эту булочку как потребитель госуслуг периодически жую со слезами на глазах.
Я только утверждаю, что ситуация «я дал свою ЭП подчиненным» — это очень, очень хорошая и удобная табуреточка, на которой стоит множество начальников, просунувших в петлю голову. Нравится кому-то делать так вместо более правильной организации документооборота — ну так кто ж им запретит.
У нас тут у одного контрагента была уже ситуация «ай, мы не размещали этот тендер. Злые хакеры тут за нас его создали с использованием электронной подписи начальника. Ну да, ее все в компании знают вплоть до уборщицы. Что значит — с нас неустойка?».
Прям удивительно, да?

Нет, я категорически не хочу идти на госслужбу.
Больший недостаток, на мой взгляд, заключается в том, что на Госуслугах на одну и ту же учётную запись привязали как работу с человеком, как с частным лицом, так и как с работником организаций, к которым он привязан. Зачастую функции человека на ресурсах, вход на которые завязан на Госуслуги, выполняет не он лично, а другие сотрудники, которым он делегировал полномочия (скажем, чтобы не закупать много электронных подписей или в случае, когда подписывать должен только сам руководитель, но он всё лично сделать физически не в состоянии)

Я им посылаю большие лучи… — Сотрудник (ну например зам главного бухгалтера) создает документ под своим логином. Чтобы его отправить например в Фонд соц страх документ должен подписать руководитель организации, директор. Директора нет — кто может подписывать? Доверенное лицо — а оно возможно?

Теория заговора взлома не проходит «бритву Оккама». С вероятностью 0,(9) это глюк системы или косяк исполнителя.
НЛО прилетело и опубликовало эту надпись здесь
оказалось, что в день удаления учетной записи было два письма с разницей в 25 минут. Первое с темой «Восстановление доступа к учетной записи» и соответствующим содержанием. Второе с темой «Учетная запись удалена» и содержанием:

Подобрать пароль (а он был вот таким /71fge6HaRNP3ng.) к сайту маловероятно.

хотя откуда злоумышленник знал пароль остается загадкой;

Очевидно, что взломали почту, а не аккаунт госуслуг. При чем тут подбор пароля к сайту если была инициирована процедура восстановления пароля?
Злоумышленник не знал пароля к сайту. Он имел доступ к почте.
Вряд ли.
Взломав почту первым делом злоумышленник меняет пароль к почте, ну или это какой-то странный злоумышленник.
Если не меняет, то хотя бы скрывает следы воздействия.
Дополнил пост скрином из почты.
Первое с темой «Восстановление доступа к учетной записи» и соответствующим содержанием. Второе с темой «Учетная запись удалена» и содержанием

Ну очевидно же, кто-то зашел в свою почту, увидел, что ему сыплется спам от «госуслуг», сделал сброс пароля и удалил нафиг учётку, которая почему-то привязана к нему.

Возможно еще, что этот человек-пенсионер любезно подарил электронную почту своему *внуку*, *другу*, *соседу* итп крутой цифровой подарок на день рождения, например 10-летнему ребёнку, который так этому обрадовался, что пошел тыкать во все кнопки, читать письма, и удалять нафиг левые аккаунты(откройте любое письмо, есть ли там слова типа: «если этот спам вам не нужен, удалите аккаунт по этой ссылке» ?).

Либо к этому пенсионеру не только вы в гости ходите, но и другие *тыжпрограммисты*, которые решили проверить его почту на вирусы, и отписали от спамовых госуслуг, «зачем они пенсионеру, вдруг еще пенсию уведут».
Кстати, наличие антивирусов не означает отсутствие кейлоггеров…

2-х факторная авторизация тоже странно как может помочь, мне кажется она отключается также просто.

для удаления достаточно только знания почты и пароля, т.е. доступа к самой почте не нужно, письмо с подтверждением не посылается и сам доступ к почтовому ящику не проверяется

Не хочу показаться несовременным хамом, но со стороны государства, «Яндекс» или «мейл.ру», или любой другой почтовик являются просто сторонней коммерческой компанией. Вполне может такое быть, что человек лишится доступа к почте(украли-сменили пароль, либо почтовая компания по велению своего ИИ-антиспам решила заблокировать подозрительную почту, либо новые санкции США постановили заблокировать все почтовые адреса всех граждан РФ, да хоть что может быть, к чему госуслуги непричастны никак). Так вот, во всех этих сценариях может случиться, что человек — физическое лицо ничего не сможет сделать с сайтом госуслуг, и поэтому я согласен с тем, что полагаться на сторонние почтовики как на гарант сохранения гражданских прав — не правильно со стороны государственных услуг.
Как можно зайти в почту не зная пароля?
Пароль на почту такой же сложности как и был на госуслугах. Т.е. вряд ли подобрали, а если подобрали — почему не сменили? Почему не удалили почтовый ящик? Ведь через него
«зачем они пенсионеру, вдруг еще пенсию уведут».

Удалить учетную запись и оставить все письма от гоуслуг в ящике — странная логика поведения.

Странный аргумент

являются просто сторонней коммерческой компанией.


Если внимательно присмотрется — сейчас всё является коммерческой компанией — везде есть планы «продаж», включая поликлиники, школы, сайты и т.п.
НЛО прилетело и опубликовало эту надпись здесь
В надежном месте :)
Вариант с потерей/попаданием в руки злоумышленника — это самый крайний вариант, который идёт после злого умысла сотрудников почтового сервера.
Вот именно, что злоумышленника, но вы отвергаете вариант «доброго родственника», который увидел пароли, решил проверить и помочь «бедному пенсионеру, который не разбирается во всём этом, от греха подальше...»
Статья о том, что учетную запись можно удалить без подтверждения владения почтовым ящиков и без личного посещения МФЦ.
Вчера выложил журнал доступа к почтовой записи — кроме меня никто не входил.
Возможно, восстановление доступа было осуществлено в Центре обслуживания. В этом случае знание электронной почты и пароля не требуется. Нужны лишь данные паспорта и СНИЛС.
Нет, этого не было.
Здравствуйте.
Вовсе не обязательно, что ваш аккаунт взломали злые хакеры. Есть очень не нулевая вероятность, что это человеческая ошибка сотрудника Центра Обслуживания. Если вы посмотрите на фильтры на оф. сайте, то увидите, что некоторые из них наделены полномочиями удалять учетки. (МФЦ — точно). Может попался ваш полный тёзка, пожелавший удалиться, а сотрудник не посмотрел СНИЛС/паспорт, может еще что, это довольно популярная операция.
Про злых хакеров — это к комментаторам. Пароли на учетную запись и на почтовый ящик сложные, вряд ли подобрали.
Больше похоже что есть возможность удаления (возможно с участием техподдержки) не зная пароль, не имея доступа к почтовому ящику и без личного присутствия в МФЦ.

Может и попался полный (не мой, я только участник) тёзка, но зачем тогда посылать запрос на изменение пароля?
Пост о том, что следов не найти — ФЗ-152 не позволяет.
Интересно как это вяжется с оперативно-розыскной деятельностью?
Про злых хакеров — это к комментаторам

Я вот молчу по поводу версий, т.к. не вяжется вообще ничего.
— Злые хакеры: нафиг им сдалась учётка на госуслугах? Максимум — использовать её в своих целях, но зачем удалять?
— Хозяин, его близкие: наверное сказал бы, судя по тексту нет оснований ему не верить
— Самый подходящий вариант, как озвучили выше: сами сотрудники. Но запрос на изменение пароля действительно непонятен…
Самый подходящий вариант, как озвучили выше: сами сотрудники. Но запрос на изменение пароля действительно непонятен…
Непонятен? Мне тоже был, когда моей маме при оформлении пенсии сотрудники ПФР без ее ведома сбросили пароль на госуслугах, навешав ей лапши про «логин и пароль для личного кабинета».

История: пошла моя мама оформлять пенсию. Перед этим я ее зарегал на госуслугах, ибо перед оформлением нужно было там совершить некоторые действия (в частности, мама хотела узнать размер предварительно рассчитанной ей пенсии). Мама сходила в ПФР в назначенный день, и через пару недель попросила проверить для нее на сайте статус оформления. Выяснилось, что ей вручили заламинированную бумажку со словами «это ваши логин и пароль для личного кабинета на сайте пенсионного». Я изрядно прифигел, ибо я был на 100% в курсе, что никакого личного кабинета на сайте ПФР нет в помине, есть только раздел в меню под названием «Личный кабинет», в котором все ссылки ведут на обвязку ПФР в ЕСИА. Я попытался зайти… ну да, выяснилось, что добрая девочка из пенсионного, принимающая заявления на пенсии, у нас обладает ни много ни мало, правами творить с аккаунтами людей на госуслугах что угодно, и к тому же еще сама логинится под ними после смены паролей для проверки. Мне интересно, если бы я на тот момент включил двухфакторную (не помню, была она тогда или нет) и мама пришла бы без телефона, что бы они там делали? Или пароль был бы изменен принудительно и двухфакторная была бы послана нафиг?

Из лога госуслуг
image
Ну значит вот и ответ.
Да, есть момент взаимного недопонимания, каюсь. Я невнимательно прочитал вас, а вы… меня.
Я лишь дополняю и расширяю ответ, данный вам выше, Spanden
Я не утверждаю что это ваш случай, письмо о восстановлении и меня смущает, я лишь хочу рассказать вам и другим читателям, что мне, например, как сотруднику МФЦ, глубоко ортогонально, какой у вас пароль, какой ящик и скольки факторная аутентификация! В пару кликов мыши я могу спокойно удалить любую учетную запись ЕСИА! И никакой СНИЛС/паспорт мне не нужны. (поправочка: пока не любую, а только своего субъекта федерации, но если введут принцип экстерриториальности в масштабах всех страны, то таки да)
Это вынужденная мера. Количество наших сограждан, безалаберно и безответственно относящихся к этому шагу, ввергает в печаль и уныние. Ваш покорный слуга лично разбирался с кейсом, когда мадам наделала 3 (три) упрощенных аккаунта и все на разные сим-карты и все проё бездарно утрачены. Они думают, это как в китайском магазине, забыл, подумаешь, новую создам. А вот когда приходят подтверждать, тут и начинается… хождение по мукам. Поэтому нам и дана такая метла.
Но повторюсь: не утверждаю что это случай вашего знакомого, просто имейте в виду, такой вариант тоже есть и он очень реален.
Пост о том, что невозможно (по словам техподдержки) выяснить как и кем была удалена учетная запись.
Если вы настоящий сотрудник МФЦ — проясните этот вопрос.

Действительно ли нет возможности (не существует логов действий сотрудников МФЦ, партнеров МФЦ и других сотрудничающих с МФЦ организаций) узнать кем, когда и на каком основании была удалена учетная запись?

Также очень интересен момент экстерриториальности, т.к. в настоящий момент восстановленная учетная запись не имеет адреса прописки/регистрации — какому региону она принадлежит/каким МФЦ может быть удалена?
Что вам ответили на горячей линии — я от комментариев благоразумно воздержусь.

Действительно ли нет возможности (не существует логов действий сотрудников МФЦ… узнать кем, когда и на каком основании была удалена учетная запись?

Безусловно есть. Если такой инцидент был, расследование не займет много времени. Но функции ЦО возложены еще на кучу федералов (соцзащита, ПФ, центр занятости, ЗАГС) и что происходит у них, я знать не могу.

А при чем тут прописка? Если в вашем регионе этот принцип реализован, то здравый смысл подсказывает, что начать стоит с того МФЦ, где аккаунт подтверждали. Сразу говорю, у нас отработанной процедуры расследования таких случаев нет, просто не было прецедентов, все учетки удаляются строго в присутствии и с согласия заявителя.

Пройдите по ссылке, что я дал в своём первом сообщении. Выберите ваш населенный пункт/район. Поставьте в фильтре галочку «удаление» и вот вам первый круг «подозреваемых».
Но прошу вас не забывать про человеческий фактор, там может никакого злого умысла и не было, если вообще такой факт был. «По эту сторону прилавка» тоже много разных, живых, усталых людей, уверяю вас.
По поводу региона:
например человек регистрируется на сайте и не указывает регион проживания, т.е. теоретически он может зарегистрироваться например из Австралии — к какому региону он привязывается?

Также подтвердить учетную запись можно например в любом почтовом отделении, т.е. человек подтвердил свою учетную запись за Уралом, а потом не может удалить её в Мурманске через МФЦ?

Что-то здесь непонятно про регионы на уровне федеральной системы.
Если мы про подтверждение, то тут есть интересный момент. Не буду за всю страну, как это работает у нас в области. Гражданин может придти в любой МФЦ с документами и сказать: хочу подтвердить учетную запись. ОК, оператор берет его паспорт и СНИЛС и заводит карточку заявителя, заполняя все поля. Ведь что такое по сути АИС МФЦ? Это большая толстая CRM, верно? Нажимаем кнопку «выполнить запрос», всплывает окошко, вводим PIN-код токена и вуаля! Теперь, в какой бы МФЦ нашей области этот человек не зашел, его карточка доступна любому оператору и он видит историю его обращений. Но только в нашем регионе.
Но! Есть еще один вариант, облегченный и упрощенный. Страна у нас большая, и в наших сибирских краях практикуются выезды в поселки, мобильный офис. Сотрудник берет с собой настроенный ноутбук, токен и 3G модем. В браузере есть закладка на специальную ссылку, называется АРМ Центра Обслуживания, кликаем, авторизуемся, и вот там уже подробных сведений о гражданине мы не вводим, только серия и номер паспорта. И вот о таких случаях, мы информацию не видим, ее видит только Москва, Минсвязь.

Но удаление, да, либо сам гражданин в своём личном кабинете либо через АИС МФЦ или что там у федералов, врать не буду.
Подтвердить можно в любом отделении почты, там токенов нет — просто сотрудник почты где-там ставит галочку.
Вопрос про привязку к региону остался без ответа.
Про удаление в другом регионе относительно региона подтверждения также без ответа.
Вот про почту ничего не скажу, почта это… почта и этим всё сказано :-)

Возможно, уже поздно и честного говоря, спать пора, прошу прощения, если сумбурно.
Если мы говорим о услугах свзяанных с ЕСИА, то я не очень понял о какой привязке идёт речь. Если вы придете ко мне, и попросите:
а) зарегистрироваться в ЕСИА
б) подтвердить УЗ
в) восстановить забытый пароль
г) удалить УЗ
мне не важно откуда вы, из Калининграда или с Камчатки. Был бы паспорт РФ, СНИЛС и телефон. Но как только я завел на вас карточку, она тут же стала доступна сотням других специалистов во всех МФЦ нашего региона и никаких технических преград для ее непреднамеренного, случайного удаления нет. Возможно, эта же схема работает и в вашем субъекте федерации, там где вы «засветили» учетку вашего знакомого, придя в МФЦ за подтверждением. Это лишь одна версия из букета вероятностей, вот что я хотел сказать. Прошу извинить, за сим откланиваюсь.
Скажу за почту: привязка через почту РФ работает, выглядит это как «сотрудник почты посмотрел паспорт и поставил где-то галочку».

ЕСИА вроде как федеральная система, а карточка заводится на уровне региона и доступна для удаления только на уровне региона?
Тогда почему учетную запись удалили совсем (федеральный уровень)?

Из ваших ответов получается что в разных регионах ЕСИА разная.
То, что вы не видите токена не значит что его совсем нет, где то в этой цепочке должна быть усиленная квалифицированная подпись, не может быть чтоб не было. Или почте дали совсем уж грубый чит.

Еще раз. ЕСИА федеральная система, и удаляется на федеральном уровне, просто доступ к удалению появляется после того как вы обратились за любой, не важно какой, услугой, и на вас завели карточку. Ваш знакомый может устроить тур по всей стране и в каждой области обращаться в МФЦ и с каждым посещением, кол-во людей, имеющих такую возможность, будет пропорционально увеличиваться. Запись будет одна единственная, будет расти количество людей, имеющих к ней «отмычку». Понимаете?

Это вынужденная мера, зачастую это самый быстрый и надёжный способ решить проблему, грохнуть всё и начать с чистого листа. Мы этого не просили, но таковы реалии нашей страны.
Из ваших слов —
сначала
Гражданин может придти в любой МФЦ с документами и сказать: хочу подтвердить учетную запись. ОК, оператор берет его паспорт и СНИЛС и заводит карточку заявителя, заполняя все поля.

но мой опыт показывает, что для подтверждение достаточным документом является паспорт, оператор МФЦ (сотрудник почты) ничего не заводит и СНИЛС не просит, то что он делает видится со стороны «смотрит паспорт и ставит галочку».

Из фразы
Но удаление, да, либо сам гражданин в своём личном кабинете либо через АИС МФЦ или что там у федералов, врать не буду.

значит что вы не видели АИС МФЦ? Или АИС МФЦ это не то, что установлено в вашем МФЦ?

Из, цитирую
Ваш знакомый может устроить тур по всей стране и в каждой области обращаться в МФЦ и с каждым посещением, кол-во людей, имеющих такую возможность, будет пропорционально увеличиваться.
Запись будет одна единственная, будет расти количество людей, имеющих к ней «отмычку». Понимаете?

Правильно я понимаю, что подтверждая через почту (т.е. вообще не посещая МЦФ) ни у кого из сотрудников МФЦ всех регионов не будет права удаления, «отмычки» в вашей терминологии (СНИЛС не просили, поля не заполняли => карточка не завелась)?
но мой опыт показывает, что для подтверждение достаточным документом является паспорт, оператор МФЦ (сотрудник почты) ничего не заводит и СНИЛС не просит, то что он делает видится со стороны «смотрит паспорт и ставит галочку».


Я уже ответил вам выше, про 2 способа подтверждения.

Или АИС МФЦ это не то, что установлено в вашем МФЦ?
Этих АИС довольно много, каждый субъект федерации выбирает себе сам, по вкусу, кошельку и /или еще некоторым параметрам. У нас стоит одна, в соседнем регионе другая, тонкости их работы я не могу знать.

Правильно я понимаю, что подтверждая через почту (т.е. вообще не посещая МЦФ) ни у кого из сотрудников МФЦ всех регионов не будет права удаления, «отмычки» в вашей терминологии (СНИЛС не просили, поля не заполняли => карточка не завелась)?

Да. Но если пользователь и забудет пароль и потеряет симку, ему все равно нас не миновать.
Этих АИС довольно много, каждый субъект федерации выбирает себе сам, по вкусу, кошельку и /или еще некоторым параметрам. У нас стоит одна, в соседнем регионе другая, тонкости их работы я не могу знать.

Наличие разных систем АИС противоречит наличию единой техподдержки — техподдержка не спрашивает из какого вы региона. Я общался по разным вопросам с ТП.

И, если разбираться дальше, получается что удалить могли только сотрудники того региона, в котором проходило подтверждение УЗ?

Гражданин может придти в любой МФЦ с документами и сказать: хочу подтвердить учетную запись. ОК, оператор берет его паспорт и СНИЛС и заводит карточку заявителя, заполняя все поля.

Для похода в первый раз МФЦ нужен паспорт и СНИЛС?
А для кого гражданин заполнял все эти поля сидя за компьютером, потом проходила сверка введенных данных с другими госорганами? Чтобы потом оператор МФЦ ещё раз заводил на него карточку путем ввода данных паспорт и СНИЛС?
Полагаю, есть федеральная база.
В которой хранятся ваши СНИЛС и прочие данные.
А есть региональные БД.
И при приходе в МФЦ оператор должен сперва завести в своей АИС ваши данные (в том числе паспорт и СНИЛС) чтобы они создались в АИС.
Далее АИС стучится в федеральную базу данных с запросом «тут ко мне пришел некто Имяреков Имярек Имярекович, паспорт 1234 567890, СНИЛС 123-456-789-01, давай данные».
Федеральная сверяет предъявляемые данные с имеющимися и в случае совпадения — отдает.
Бывал в МФЦ с разными людьми — никогда СНИЛС не просили.

Вы работает в государственном МФЦ?
Нет.
Возможно, для синхронизации достаточно паспорта.
Вы не обижайтесь, но я вам отвечать больше не буду. Токсичный вы какой-то, утомили. Играете в игру, прям как по Эрику Бёрну «Да, но...»
Играйте, но без меня.
Всех благ вам и вашему знакомому.
а в системе точно не висит вирус считывающий клики по клаве?
Однозначного ответа об этом вам никто и никогда не даст — уязвимости обнаруживаются постоянно.

Но на системе стояли и стоят файервол/платный антивирус/обновления ОС /маршрутизатор.
И других потерь не замечено.
НЛО прилетело и опубликовало эту надпись здесь
Нет, в день удаления уч.записи 17.08.2017 никто не заходил.
Также в журнале не видно чтобы кто-нибудь кроме меня заходил в этот ящик.
Журнал добавил в пост.
А там логируется забор почты по POP3?
Судя по yandex.ru/blog/mail/2494
Журнал посещений — это страница, на которой отображаются все «существенные» изменения в вашем почтовом ящике (действия с письмами, папками и метками). Напротив каждого из действий указан IP-адрес компьютера, с которого оно было осуществлено. Также есть возможность посмотреть более детальную информацию по каждому из действий за конкретную дату.

В журнале посещений отображаются как действия через веб-интефейс, так и через почтовые программы.

да, логгируются.
Да наверняка просто дыра в системе, позволяющая удалять учётки. А техподдержка держит хвост пистолетом, отражая нападки пострадальцев.
Зарегистрируйтесь на Хабре , чтобы оставить комментарий

Публикации

Истории