Комментарии 106
А что значит картинка с сообщениями 2006 года?
Почему не используется факт контроля почты на которую зарегистрирована учетная запись -неизвестно.
Далее создал почтовый ящик, с этим почтовым ящиком зарегистрировался на сайте госуслуг
Еще есть возможные дыры для утечки в почтовом сервере, ну и каналы связи… Привет Яровой
Двухфакторная авторицация — это ни разу не панацея. Будут проблемы со связью — вообще не авторизуешься. Я как-то с банкингом намучался в условиях когда то связи нет, то СМС не приходит и оно ведь случается, зараза, именно тогда — когда надо прямо сейчас и срочно. Пришлось вообще свалить в другой банк, где СМС можно заменить токеном или криптогенератором. Кстати, подтверждение СМС это давно скомпроментированный метод и давно официально признан небезопасным.
Не могу представить кому могло понадобится удаление учетной записи на сайте госуслуг.
Да поди как всегда — технический косяк или тупое раздолбайство. Но косяк как же признать-то? Это надо выяснить момент и найти своего виновного. А то и хуже — нестыковку в разработке, недостаточную безопасность и т.д. и т.п.
У меня в районе как-то всем налоги пришли двойные «а вы за прошлый год не платили». Ну я-то ещё тот Жук — я им привёз и подарил цветные сканы полученных извещений и уплаченных квитанций за прошлый год :) Мадам помню сильно удивилась, но попытки я присёк сразу, сказав что проверяйте в бухгалтерии по реквизитам, ещё раз я никуда никогда не поеду, за исключением суда ;) А потом через полгода мне знакомый сисадмин сказал, что в налоговой воду на сервер пролили и он помер )))
Поэтому не пускайте на самотёк — старайтесь контролировать.
На Вашем месте я бы сохранил сканы/письма в налоговую и их ответы. Что бы потом, если чего, можно было бумажкой кому-нибудь ткнуть в морду, что типа я готов был — вы сами виноваты.
Будьте осторожны и проконсультируйтесь с юристом. Есть ненулевая вероятность, что вам пропишут по полной: и налоги, и штрафы за просрочку, и все остальное. И возможно даже Верховный суд не поможет, бывали прецеденты.
А как еще его можно было раздавать, если без него "российский" HTTPS не работает?
Раздавать сертификат по HTTP — можно. Главное для пользователя — проверять отпечаток сертификата по альтернативному каналу.
Я не спорю, что распространение сертификатов по незащищённым каналам грех не большой. Но это только при наличии отлаженных и РАБОТАЮЩИХ инструментах проверки подлинности. В реалиях нашего общества, где не что что отпечатки не сверяют, имя скаченного файла не особо то прочитывают и содержимое сертификата не пролистывают, раздавать корневой сертификат по незащищённому каналу преступление, наказание которому РАССТРЕЛ.
на сайте госуслуг надо в обязательном порядке использовать второй фактор — первый-то не проверяетсяПервый фактор — это пароль. Почта как раз была бы возможным вариантом второго фактора, если бы на неё отправлялось подтверждение.
Фактически сначала был запрос на изменение пароля, потом извещение об удаление учетной записи без подтверждения через почту.
Мне кажется это проблема безопасности которую стоит закрыть.
По крайней мере все (насколько могу вспомнить) сервисы имеющие учетную запись используют подтверждение через почту для значимых изменений.
Может, и тут человеческий фактор? Позвонили в техподдержку, и попросили сменить пароль… а что, такое тоже прокатывает.
У меня как-то увели учетку от одного сайта обменника, подобрали пароль? Но ведь логин тоже подобрать надо… Если и так, то почему нету защиты от брутфорса. Если она есть и у меня сидел вирус(а у меня ведь linux), то почему не поперли других данных, куда более ценных. я к чему это, м***ки повсюду и надо быть на стороже)
Ну очень понятно, почему сделан вывод, что СМС-подтверждение как-то поможет…
Вполне возможно, что нет — так же, как и почта.
2. Как и всегда — хитрый пароль против подбора, в этом случае не помогло.
3. яндекс
4. Используется ли фаервол и антивирус в системе?
И теперь на сайт gosuslugi.ru только со вторым фактором.
По работе вынужден часто пользоваться «Госуслугами». Включал «двухфакторную авторизацию» (или, точнее, «двухэтапную проверку входа», как это названо в esia.gosuslugi.ru/profile/user/security), но вынужден был от этого отказаться, поскольку sms приходили с большим запозданием (когда вообще приходили).
Больший недостаток, на мой взгляд, заключается в том, что на Госуслугах на одну и ту же учётную запись привязали как работу с человеком, как с частным лицом, так и как с работником организаций, к которым он привязан. Зачастую функции человека на ресурсах, вход на которые завязан на Госуслуги, выполняет не он лично, а другие сотрудники, которым он делегировал полномочия (скажем, чтобы не закупать много электронных подписей или в случае, когда подписывать должен только сам руководитель, но он всё лично сделать физически не в состоянии). И эти сотрудники могут увидеть (и не только) информацию в разделе личных данных, что, конечно, нежелательно.
Просто у нас в компании заделегировано всё что можно. Надзорные органы не протестуют.
Вообще то запрещено делегировать полномочия.
Вообще-то «Вообще то» пишется не так. Но это к слову. Больше интересует, в каких конкретно случаях «запрещено делегировать полномочия». Желательно поконкретнее, а если будут и пруфы — благодарности нашей не будет предела.
когда подписывать должен только сам руководитель, но он всё лично сделать физически не в состоянии
Отличный план чтобы присесть
присесть
Господа, откуда у вас этот сленг?
и могу гарантировать
* и не могу гарантировать
Извините, опечатка.
Просто в данном случае все обстоит ровно так же…
http://lukomore.org/lurk/%D0%9F%D0%BE%D1%81%D0%B0%D0%B4%D0%BA%D0%B0_%D0%BD%D0%B0_%D0%B1%D1%83%D1%82%D1%8B%D0%BB%D0%BA%D1%83
Я тоже по работе использую госуслуги, но у нас каждый сотрудник входит под своей учёткой, а раздача прав настраивается в админке организации. На любые другие варианты (дать другому учётку «поработать») будет отсыл в известном направлении.
раздача прав настраивается в админке организации
Спасибо за хороший пример. Правда, не «права», а «доступ к системам», но не суть. У вас лично руководитель организации этим занимается? А какова численность коллектива, если не секрет? И на госзакупках, когда там присоединялись к госуслугам, сам лично всех перерегистрировал (для не сталкивавшихся с этим — всех надо было перерегистрировать и начинать мог только руководитель с правильно прописанными на госуслугах инн и снилс)? И на ГИС ЖКХ лично ходит админить (там похожая ситуация с вышеописанной)?
каждый сотрудник входит под своей учёткой
Многие системы требуют входа только с помощью электронной подписи. У вас у всех сотрудников имеются такие подписи и сотрудники имеют соответствующие права, прописанные в этих подписях? Для росреестра там, для пенсионного, для налоговой?
Для понимания — я не говорю, что это правильно; наоборот, я утверждаю, что такая система изначально была неправильно продумана и реализована. Но по факту — не во всех случаях, когда требуется выполнение действия от имени руководителя или иного ответственного лица, имеется возможность это сделать лично этому человеку. Элементарный пример — начальник ушёл в отпуск. С передачей прав заместителю. Предлагаете во всех системах всё переделывать на заместителя? ЕГРЮЛ переписывать? Да только в «электронном бюджете» прохождение изменений ждать дольше придётся, чем продолжительность отпуска.
Если в других областях деятельности всё так сложно — печально…
И, если память не изменяет, от руководителя требовалось только первоначально настроить реквизиты организации, и распределить доступы на пользователей и администраторов
«Иван Иваныч, тут из правительства, как всегда задним числом, прислали распоряжение, надо добавить нашей организации новую функцию, 'Орган местного самоуправления, уполномоченный на ведение программы «Формирование современной городской среды»'; как всегда ещё вчера и вчера же отчитаться. Что значит „я на заседании“? Бросьте эту ерунду, Иван Иваныч; тут речь о Госууслугах!»
А если серьёзно — я очень рад, если ваш руководитель разбирается в веб-сервисах настолько же хорошо, насколько и в том, чем руководит (я надеюсь, что разбирается). Но это не везде и не всегда так.
Тут выше кто-то ёрничал, мол пустую бумажку с подписью не стоит давать. Ну, во-первых, если уж сравнивать, то не пустую бумагу, а скорее ведомость с некоторыми не проставленными цифрами. А во-вторых и главных — контроль со стороны руководителя никто не отменял. Когда руководитель визирует подготовленные в отделах бумаги, он, естественно, не перепроверяет все указанные там данные, но проверить всегда может и должен.
тут из правительства, как всегда задним числом, прислали распоряжение, надо добавить нашей организации новую функциюНу и всё, ждём Иван Иваныча из отпуска/командировки. Возможно, конечно, он оставил свои данные на случай (тьфу-тьфу) форсмажора, тому, кому сильно доверяет, но мы (сотрудники) об этом не знаем.
я очень рад, если ваш руководитель разбирается в веб-сервисах настолько же хорошо, насколько и в том, чем руководитНа самом деле там разобраться не сложнее, чем в одноклассниках, с точки зрения авторизации. Ну а предметную область естественно знает. Плюс всегда можно попросить помочь айтишников или кого-там, если что непонятно, не передавая им паролей.
Плюс всегда можно попросить помочь айтишников или кого-там, если что непонятно, не передавая им паролей.
И тут мы задумываемся про наших безопасников, установивших по требованию директора DLP-решение с кейлоггером…
Пути возможной утечки паролей надо тоже продумывать.
DLP на телефонах пока не встречал, наверное они есть.
В описанной истории — личный ноутбук и единственный пользователь/администратор.
Файервол/платный антивирус/обновления ОС /маршрутизатор стоят.
Других потерь не замечено.
Директора нет — кто может подписывать? Доверенное лицо — а оно возможно?Я не знаю, возможно или нет, но знаю, что у них есть техподдержка. И если её попинать, да побольнее, то нужный функционал вполне реализуется и внедряется за несколько месяцев.
Директора нет — кто может подписывать? Доверенное лицо — а оно возможно?
Я не знаю, возможно или нет, но знаю, что у них есть техподдержка. И если её попинать, да побольнее, то нужный функционал вполне реализуется и внедряется за несколько месяцев.
А с техподдержкой в виде первой линии я общался. Их пинать (сидящих на государственных деньгах(т.к. это разработка и поддержка чья-то)) нужно иметь большие нервы и время...
Если дело не движется, переписка эскалируется вышке, вплоть до того, что через руководство организации и заинтересованных гос.структур на ответственных за всё это безобразие.
Ну, короче, «под лежачий камень вода не течёт». А отношение сотрудников, обычно, «да у них не работает (не реализовано), но это не моя забота, отмаза есть если что».
Если вы даете кому-то доступ к своей учетке в госуслугах, вы по сути даете ему возможность визировать (юридически значимо для вас — то есть вплоть до уголовки именно вам) от вашего лица все, что ему заблагорассудится.
Чем это отличается от пустого листа с отвественной собственноручной подписью — мне непонятно.
Если вы даете подчиненному доверенность на что-то, и он без вашего ведома совершает с ее использованием нечто противоправное — наказывать будут его, а не вас. Вы просто получите некие потери (финансовые, репутационные, временные — может быть много чего). А вот если вы ему дали свою учетку и он что-то крамольного там от вашего имени наподписывал — то претензии будут именно к вам. Электронная подпись юридически так же значима, как и личная.
И именно поэтому давать к ней доступ кому-то кроме себя — крайне неосторожно.
Считайте, что это не патриотично, но зависеть работа организации не должна от наличия на месте одного-единственно работника, а должна — от его умения построить работу так, чтобы лично
Почему никого не удивляет, что жалоба, написанная на деревню Путину, пройдя через администрацию президента и вернувшись, например, муниципалам, получает ответ не за личной подписью Путина, а, скажем, начальника штанопросиживательного отдела местной администрации?
Именно поэтому в любом нормальном документе (или в документации, его сопровождающей) есть приписка «Исп. Такой-то».
Именно поэтому при электронном документообороте начальник перед постановкой визы должен иметь возможность проверить, а Такой-то ли составил документ (привет, электронная подпись Такого-то!). И в случае отсутствия начальника визировать документ должен тогда его заместитель или исполняющий обязанности своей собственной ЭП.
Работа организации должна быть построена именно таким образом.
И именно поэтому необходимость использования подписи Большого Начальника его подчиненными без его ведома должна отсутствовать. В интересах именно этого начальника. Если начальник дает свою электронную подпись посторонним — он не может выстроить соответствующий процесс.
Я так вижу.
Почему никого не удивляет, что жалоба, написанная на деревню Путину, пройдя через администрацию президента и вернувшись, например, муниципалам, получает ответ не за личной подписью Путина, а, скажем, начальника штанопросиживательного отдела местной администрации?
Может потому, что это не так? По всей видимости вы никогда не имели дела с системами обращений граждан, с ссту.рф, «банкоматами» обращений к президенту и т.д.
Именно поэтому в любом нормальном документе (или в документации, его сопровождающей) есть приписка «Исп. Такой-то».
Т.е. все документы, не являющиеся распоряжениями и приказами с вашей точки зрения «ненормальные»?
«Я так вижу» — это замечательно, но спорить, основываясь на своих представлениях, как должно быть, а не на знании, как обстоят дела на самом деле, не очень продуктивно.
Кстати, я не говорю, что все ваши идеи плохи — напротив, если бы некоторые из них воплотились — было бы замечательно. Но… а вы не хотели бы поработать в системе органов местного самоуправления? Может быть, что-то и изменили.
Да, с моей точки зрения — для любого документа должна быть возможность проверки, а кто ж его создал.
Не всегда эти данные должен видеть конечный получатель, но у руководителя должна быть возможность верифицировать путь документа.
В идеале — и проверить, вносились ли в него несанкционированные изменения. Электронная подпись при этом такие возможности дает.
Я не спорю с тем, что во многих и многих местах многое организовано ректальным способом, что вы. Я эту булочку как потребитель госуслуг периодически жую со слезами на глазах.
Я только утверждаю, что ситуация «я дал свою ЭП подчиненным» — это очень, очень хорошая и удобная табуреточка, на которой стоит множество начальников, просунувших в петлю голову. Нравится кому-то делать так вместо более правильной организации документооборота — ну так кто ж им запретит.
У нас тут у одного контрагента была уже ситуация «ай, мы не размещали этот тендер. Злые хакеры тут за нас его создали с использованием электронной подписи начальника. Ну да, ее все в компании знают вплоть до уборщицы. Что значит — с нас неустойка?».
Прям удивительно, да?
Нет, я категорически не хочу идти на госслужбу.
Больший недостаток, на мой взгляд, заключается в том, что на Госуслугах на одну и ту же учётную запись привязали как работу с человеком, как с частным лицом, так и как с работником организаций, к которым он привязан. Зачастую функции человека на ресурсах, вход на которые завязан на Госуслуги, выполняет не он лично, а другие сотрудники, которым он делегировал полномочия (скажем, чтобы не закупать много электронных подписей или в случае, когда подписывать должен только сам руководитель, но он всё лично сделать физически не в состоянии)
Я им посылаю большие лучи… — Сотрудник (ну например зам главного бухгалтера) создает документ под своим логином. Чтобы его отправить например в Фонд соц страх документ должен подписать руководитель организации, директор. Директора нет — кто может подписывать? Доверенное лицо — а оно возможно?
оказалось, что в день удаления учетной записи было два письма с разницей в 25 минут. Первое с темой «Восстановление доступа к учетной записи» и соответствующим содержанием. Второе с темой «Учетная запись удалена» и содержанием:
Подобрать пароль (а он был вот таким /71fge6HaRNP3ng.) к сайту маловероятно.
хотя откуда злоумышленник знал пароль остается загадкой;
Очевидно, что взломали почту, а не аккаунт госуслуг. При чем тут подбор пароля к сайту если была инициирована процедура восстановления пароля?
Злоумышленник не знал пароля к сайту. Он имел доступ к почте.
Первое с темой «Восстановление доступа к учетной записи» и соответствующим содержанием. Второе с темой «Учетная запись удалена» и содержанием
Ну очевидно же, кто-то зашел в свою почту, увидел, что ему сыплется спам от «госуслуг», сделал сброс пароля и удалил нафиг учётку, которая почему-то привязана к нему.
Возможно еще, что этот человек-пенсионер любезно подарил электронную почту своему *внуку*, *другу*, *соседу* итп крутой цифровой подарок на день рождения, например 10-летнему ребёнку, который так этому обрадовался, что пошел тыкать во все кнопки, читать письма, и удалять нафиг левые аккаунты(откройте любое письмо, есть ли там слова типа: «если этот спам вам не нужен, удалите аккаунт по этой ссылке» ?).
Либо к этому пенсионеру не только вы в гости ходите, но и другие *тыжпрограммисты*, которые решили проверить его почту на вирусы, и отписали от спамовых госуслуг, «зачем они пенсионеру, вдруг еще пенсию уведут».
Кстати, наличие антивирусов не означает отсутствие кейлоггеров…
2-х факторная авторизация тоже странно как может помочь, мне кажется она отключается также просто.
для удаления достаточно только знания почты и пароля, т.е. доступа к самой почте не нужно, письмо с подтверждением не посылается и сам доступ к почтовому ящику не проверяется
Не хочу показаться несовременным хамом, но со стороны государства, «Яндекс» или «мейл.ру», или любой другой почтовик являются просто сторонней коммерческой компанией. Вполне может такое быть, что человек лишится доступа к почте(украли-сменили пароль, либо почтовая компания по велению своего ИИ-антиспам решила заблокировать подозрительную почту, либо новые санкции США постановили заблокировать все почтовые адреса всех граждан РФ, да хоть что может быть, к чему госуслуги непричастны никак). Так вот, во всех этих сценариях может случиться, что человек — физическое лицо ничего не сможет сделать с сайтом госуслуг, и поэтому я согласен с тем, что полагаться на сторонние почтовики как на гарант сохранения гражданских прав — не правильно со стороны государственных услуг.
Пароль на почту такой же сложности как и был на госуслугах. Т.е. вряд ли подобрали, а если подобрали — почему не сменили? Почему не удалили почтовый ящик? Ведь через него
«зачем они пенсионеру, вдруг еще пенсию уведут».
Удалить учетную запись и оставить все письма от гоуслуг в ящике — странная логика поведения.
Странный аргумент
…
являются просто сторонней коммерческой компанией.
…
Если внимательно присмотрется — сейчас всё является коммерческой компанией — везде есть планы «продаж», включая поликлиники, школы, сайты и т.п.
Вариант с потерей/попаданием в руки злоумышленника — это самый крайний вариант, который идёт после злого умысла сотрудников почтового сервера.
Вовсе не обязательно, что ваш аккаунт взломали злые хакеры. Есть очень не нулевая вероятность, что это человеческая ошибка сотрудника Центра Обслуживания. Если вы посмотрите на фильтры на оф. сайте, то увидите, что некоторые из них наделены полномочиями удалять учетки. (МФЦ — точно). Может попался ваш полный тёзка, пожелавший удалиться, а сотрудник не посмотрел СНИЛС/паспорт, может еще что, это довольно популярная операция.
Больше похоже что есть возможность удаления (возможно с участием техподдержки) не зная пароль, не имея доступа к почтовому ящику и без личного присутствия в МФЦ.
Может и попался полный (не мой, я только участник) тёзка, но зачем тогда посылать запрос на изменение пароля?
Пост о том, что следов не найти — ФЗ-152 не позволяет.
Интересно как это вяжется с оперативно-розыскной деятельностью?
Про злых хакеров — это к комментаторам
Я вот молчу по поводу версий, т.к. не вяжется вообще ничего.
— Злые хакеры: нафиг им сдалась учётка на госуслугах? Максимум — использовать её в своих целях, но зачем удалять?
— Хозяин, его близкие: наверное сказал бы, судя по тексту нет оснований ему не верить
— Самый подходящий вариант, как озвучили выше: сами сотрудники. Но запрос на изменение пароля действительно непонятен…
Самый подходящий вариант, как озвучили выше: сами сотрудники. Но запрос на изменение пароля действительно непонятен…Непонятен? Мне тоже был, когда моей маме при оформлении пенсии сотрудники ПФР без ее ведома сбросили пароль на госуслугах, навешав ей лапши про «логин и пароль для личного кабинета».
История: пошла моя мама оформлять пенсию. Перед этим я ее зарегал на госуслугах, ибо перед оформлением нужно было там совершить некоторые действия (в частности, мама хотела узнать размер предварительно рассчитанной ей пенсии). Мама сходила в ПФР в назначенный день, и через пару недель попросила проверить для нее на сайте статус оформления. Выяснилось, что ей вручили заламинированную бумажку со словами «это ваши логин и пароль для личного кабинета на сайте пенсионного». Я изрядно прифигел, ибо я был на 100% в курсе, что никакого личного кабинета на сайте ПФР нет в помине, есть только раздел в меню под названием «Личный кабинет», в котором все ссылки ведут на обвязку ПФР в ЕСИА. Я попытался зайти… ну да, выяснилось, что добрая девочка из пенсионного, принимающая заявления на пенсии, у нас обладает ни много ни мало, правами творить с аккаунтами людей на госуслугах что угодно, и к тому же еще сама логинится под ними после смены паролей для проверки. Мне интересно, если бы я на тот момент включил двухфакторную (не помню, была она тогда или нет) и мама пришла бы без телефона, что бы они там делали? Или пароль был бы изменен принудительно и двухфакторная была бы послана нафиг?
Я лишь дополняю и расширяю ответ, данный вам выше, Spanden
Я не утверждаю что это ваш случай, письмо о восстановлении и меня смущает, я лишь хочу рассказать вам и другим читателям, что мне, например, как сотруднику МФЦ, глубоко ортогонально, какой у вас пароль, какой ящик и скольки факторная аутентификация! В пару кликов мыши я могу спокойно удалить любую учетную запись ЕСИА! И никакой СНИЛС/паспорт мне не нужны. (поправочка: пока не любую, а только своего субъекта федерации, но если введут принцип экстерриториальности в масштабах всех страны, то таки да)
Это вынужденная мера. Количество наших сограждан, безалаберно и безответственно относящихся к этому шагу, ввергает в печаль и уныние. Ваш покорный слуга лично разбирался с кейсом, когда мадам наделала 3 (три) упрощенных аккаунта и все на разные сим-карты и все
Но повторюсь: не утверждаю что это случай вашего знакомого, просто имейте в виду, такой вариант тоже есть и он очень реален.
Если вы настоящий сотрудник МФЦ — проясните этот вопрос.
Действительно ли нет возможности (не существует логов действий сотрудников МФЦ, партнеров МФЦ и других сотрудничающих с МФЦ организаций) узнать кем, когда и на каком основании была удалена учетная запись?
Также очень интересен момент экстерриториальности, т.к. в настоящий момент восстановленная учетная запись не имеет адреса прописки/регистрации — какому региону она принадлежит/каким МФЦ может быть удалена?
Действительно ли нет возможности (не существует логов действий сотрудников МФЦ… узнать кем, когда и на каком основании была удалена учетная запись?
Безусловно есть. Если такой инцидент был, расследование не займет много времени. Но функции ЦО возложены еще на кучу федералов (соцзащита, ПФ, центр занятости, ЗАГС) и что происходит у них, я знать не могу.
А при чем тут прописка? Если в вашем регионе этот принцип реализован, то здравый смысл подсказывает, что начать стоит с того МФЦ, где аккаунт подтверждали. Сразу говорю, у нас отработанной процедуры расследования таких случаев нет, просто не было прецедентов, все учетки удаляются строго в присутствии и с согласия заявителя.
Пройдите по ссылке, что я дал в своём первом сообщении. Выберите ваш населенный пункт/район. Поставьте в фильтре галочку «удаление» и вот вам первый круг «подозреваемых».
Но прошу вас не забывать про человеческий фактор, там может никакого злого умысла и не было, если вообще такой факт был. «По эту сторону прилавка» тоже много разных, живых, усталых людей, уверяю вас.
например человек регистрируется на сайте и не указывает регион проживания, т.е. теоретически он может зарегистрироваться например из Австралии — к какому региону он привязывается?
Также подтвердить учетную запись можно например в любом почтовом отделении, т.е. человек подтвердил свою учетную запись за Уралом, а потом не может удалить её в Мурманске через МФЦ?
Что-то здесь непонятно про регионы на уровне федеральной системы.
Но! Есть еще один вариант, облегченный и упрощенный. Страна у нас большая, и в наших сибирских краях практикуются выезды в поселки, мобильный офис. Сотрудник берет с собой настроенный ноутбук, токен и 3G модем. В браузере есть закладка на специальную ссылку, называется АРМ Центра Обслуживания, кликаем, авторизуемся, и вот там уже подробных сведений о гражданине мы не вводим, только серия и номер паспорта. И вот о таких случаях, мы информацию не видим, ее видит только Москва, Минсвязь.
Но удаление, да, либо сам гражданин в своём личном кабинете либо через АИС МФЦ или что там у федералов, врать не буду.
Вопрос про привязку к региону остался без ответа.
Про удаление в другом регионе относительно региона подтверждения также без ответа.
Возможно, уже поздно и честного говоря, спать пора, прошу прощения, если сумбурно.
Если мы говорим о услугах свзяанных с ЕСИА, то я не очень понял о какой привязке идёт речь. Если вы придете ко мне, и попросите:
а) зарегистрироваться в ЕСИА
б) подтвердить УЗ
в) восстановить забытый пароль
г) удалить УЗ
мне не важно откуда вы, из Калининграда или с Камчатки. Был бы паспорт РФ, СНИЛС и телефон. Но как только я завел на вас карточку, она тут же стала доступна сотням других специалистов во всех МФЦ нашего региона и никаких технических преград для ее непреднамеренного, случайного удаления нет. Возможно, эта же схема работает и в вашем субъекте федерации, там где вы «засветили» учетку вашего знакомого, придя в МФЦ за подтверждением. Это лишь одна версия из букета вероятностей, вот что я хотел сказать. Прошу извинить, за сим откланиваюсь.
ЕСИА вроде как федеральная система, а карточка заводится на уровне региона и доступна для удаления только на уровне региона?
Тогда почему учетную запись удалили совсем (федеральный уровень)?
Из ваших ответов получается что в разных регионах ЕСИА разная.
Еще раз. ЕСИА федеральная система, и удаляется на федеральном уровне, просто доступ к удалению появляется после того как вы обратились за любой, не важно какой, услугой, и на вас завели карточку. Ваш знакомый может устроить тур по всей стране и в каждой области обращаться в МФЦ и с каждым посещением, кол-во людей, имеющих такую возможность, будет пропорционально увеличиваться. Запись будет одна единственная, будет расти количество людей, имеющих к ней «отмычку». Понимаете?
Это вынужденная мера, зачастую это самый быстрый и надёжный способ решить проблему, грохнуть всё и начать с чистого листа. Мы этого не просили, но таковы реалии нашей страны.
сначала
Гражданин может придти в любой МФЦ с документами и сказать: хочу подтвердить учетную запись. ОК, оператор берет его паспорт и СНИЛС и заводит карточку заявителя, заполняя все поля.
но мой опыт показывает, что для подтверждение достаточным документом является паспорт, оператор МФЦ (сотрудник почты) ничего не заводит и СНИЛС не просит, то что он делает видится со стороны «смотрит паспорт и ставит галочку».
Из фразы
Но удаление, да, либо сам гражданин в своём личном кабинете либо через АИС МФЦ или что там у федералов, врать не буду.
значит что вы не видели АИС МФЦ? Или АИС МФЦ это не то, что установлено в вашем МФЦ?
Из, цитирую
Ваш знакомый может устроить тур по всей стране и в каждой области обращаться в МФЦ и с каждым посещением, кол-во людей, имеющих такую возможность, будет пропорционально увеличиваться.
Запись будет одна единственная, будет расти количество людей, имеющих к ней «отмычку». Понимаете?
Правильно я понимаю, что подтверждая через почту (т.е. вообще не посещая МЦФ) ни у кого из сотрудников МФЦ всех регионов не будет права удаления, «отмычки» в вашей терминологии (СНИЛС не просили, поля не заполняли => карточка не завелась)?
но мой опыт показывает, что для подтверждение достаточным документом является паспорт, оператор МФЦ (сотрудник почты) ничего не заводит и СНИЛС не просит, то что он делает видится со стороны «смотрит паспорт и ставит галочку».
Я уже ответил вам выше, про 2 способа подтверждения.
Или АИС МФЦ это не то, что установлено в вашем МФЦ?Этих АИС довольно много, каждый субъект федерации выбирает себе сам, по вкусу, кошельку и /или еще некоторым параметрам. У нас стоит одна, в соседнем регионе другая, тонкости их работы я не могу знать.
Правильно я понимаю, что подтверждая через почту (т.е. вообще не посещая МЦФ) ни у кого из сотрудников МФЦ всех регионов не будет права удаления, «отмычки» в вашей терминологии (СНИЛС не просили, поля не заполняли => карточка не завелась)?
Да. Но если пользователь и забудет пароль и потеряет симку, ему все равно нас не миновать.
Этих АИС довольно много, каждый субъект федерации выбирает себе сам, по вкусу, кошельку и /или еще некоторым параметрам. У нас стоит одна, в соседнем регионе другая, тонкости их работы я не могу знать.
Наличие разных систем АИС противоречит наличию единой техподдержки — техподдержка не спрашивает из какого вы региона. Я общался по разным вопросам с ТП.
И, если разбираться дальше, получается что удалить могли только сотрудники того региона, в котором проходило подтверждение УЗ?
Гражданин может придти в любой МФЦ с документами и сказать: хочу подтвердить учетную запись. ОК, оператор берет его паспорт и СНИЛС и заводит карточку заявителя, заполняя все поля.
Для похода в первый раз МФЦ нужен паспорт и СНИЛС?
А для кого гражданин заполнял все эти поля сидя за компьютером, потом проходила сверка введенных данных с другими госорганами? Чтобы потом оператор МФЦ ещё раз заводил на него карточку путем ввода данных паспорт и СНИЛС?
В которой хранятся ваши СНИЛС и прочие данные.
А есть региональные БД.
И при приходе в МФЦ оператор должен сперва завести в своей АИС ваши данные (в том числе паспорт и СНИЛС) чтобы они создались в АИС.
Далее АИС стучится в федеральную базу данных с запросом «тут ко мне пришел некто Имяреков Имярек Имярекович, паспорт 1234 567890, СНИЛС 123-456-789-01, давай данные».
Федеральная сверяет предъявляемые данные с имеющимися и в случае совпадения — отдает.
Играйте, но без меня.
Всех благ вам и вашему знакомому.
Также в журнале не видно чтобы кто-нибудь кроме меня заходил в этот ящик.
Журнал добавил в пост.
Журнал посещений — это страница, на которой отображаются все «существенные» изменения в вашем почтовом ящике (действия с письмами, папками и метками). Напротив каждого из действий указан IP-адрес компьютера, с которого оно было осуществлено. Также есть возможность посмотреть более детальную информацию по каждому из действий за конкретную дату.
В журнале посещений отображаются как действия через веб-интефейс, так и через почтовые программы.
да, логгируются.
Учетная запись, gosuslugi.ru и ФЗ-152