Как потерять аккаунт на Гос. услугах за 5 секунд

Информационная безопасность

Ошибки при интеграциях разных систем случаются не так редко. И главное тут вовремя получать звоночки и фиксить эти проблемы.


Хочу рассказать вам о критической уязвимости при такой интеграции и возможности потерять свой аккаунт на гос. услугах.



Началось всё вечером. Отдыхая после работы, я получаю смс от гос. услуг с паролем для первого входа. У меня вначале появляется недоумение. Потом осознание того, что что-то тут не так. И я лезу в приложение гос. услуг на телефоне проверять свои персональные данные. И тут я обнаруживаю, что у меня нет привязанного номера телефона.


После этого начинается паника. Пытаюсь свой номер телефона привязать к аккаунту, на что получаю смс о том, что он уже привязан к другому. После такого сообщения меня начинает трясти, т.к. осознаю, что на гос. услуги много чего привязано. Хорошо, что имею второй номер телефона. Я сразу же его привязала и сменила пароль. После этого более менее успокоилась. Но осадок как бы остался.


Скрин смс


Пока искала как мне связаться со службой тех. поддержки, пришел муж и начал мне говорить про странные сообщения от Сбера. Я ему рассказываю, что меня взломали. И тут выясняется что же в результате произошло.


Мой муж, как и 90% населения России (не Москвы), получает серую ЗП. И отдал мне зарплатную карту. И кроме этого, он так же на Сбер получает пенсию. И как-то так получилось, что мой номер телефона оказался в его личном кабинете Сбера основным. Ну мне то как бы было без разницы, поэтому никто ничего не менял.


В этом году его для пенсии заставили выпустить карту Мир. И вот теперь ему пришло сообщение, что он должен был отправить свои данные по карте в ПФР. И что это можно сделать нажатием одной кнопки в приложении Сбера. Ну как говорится это он и сделал. И после этих действий я потеряла свой номер на гос. услугах. Точнее мой номер оказался привязанным в его личном кабинете на гос. услугах. Естественно после этого он привязал свой номер телефона, а мой убрал.


После этого мне конечно очень сильно отлегло. Но это критическая уязвимость. При нажатии на кнопку не говорится, что основной номер в сбере уйдет в личный кабинет.


После звонка в тех. поддержку гос. услуг (они никак не хотели составлять тикет, на общение у меня ушло 30 минут) мне начали отвечать сплошными отписками.


Я понимаю, что это не сплошная вина гос. услуг. Тут пошло на перекосяк при интеграции Сбера с ПФР и передачей данных в гос. услуги. Но что в результате выяснилось — что какие бы данные не пришли — можно спокойно потерять свой аккаунт. Т.к. любой номер телефона можно отвязать от левого человека и привязать к другому.


Скрины писем






Уважаемые сотрудники Сбер, ПФР и Гос. услуг — решите, пожалуйста, данную проблему. Т.к. по перепискам с тех. поддержкой поняла, что скорее всего до вас это не дойдет и в итоге я получу какую-то глупую отписку о том как привязать номер телефона в гос. услугах.


Уверена, что не я одна такая. И кто-то еще может пострадать или уже пострадал от этого.


P.S.

Ответ службы поддержки:
Данное поведение системы является корректным, так как номер мобильного телефона *** указан в Сбербанке у другого пользователя.

Метод Импорта, с помощью которого была совершена операция, в качестве актуальных контактов использует данные из внешней системы (в данном случае — Сбер-онлайн).


Т.е. это не баг, это фича. Грубо говоря теперь нужно будет везде пользоваться одним ящиком и одним номером телефона.

Теги:безопасность
Хабы: Информационная безопасность
+147
57,1k 79
Комментарии 280

Похожие публикации

Лучшие публикации за сутки