Какими приключениями грозит невключенная двухфакторная авторизация на Госуслугах
Я был достаточно неосмотрителен, чтобы эта история произошла со мной, но, возможно, достаточно технически грамотен, чтобы рассказать ее детали, сдерживая эмоции и понимая, что происходит, в отличии от большинства людей, оказавшихся в этой ситуации еще и с ощущением полного непонимания происходящего.
Когда появились госуслуги, на них не было автоматического информирования о входах в аккаунт с непривычного IP, не предлагалась двухфакторная авторизация. Я создал пароль достаточно надежный — не использованный нигде ранее, и считал, что все отлично, не меняя его 5 лет. На портал заходил я редко, но авторизовывал через ЕСИА государственные сервисы. Госуслуги присылали рассылки на почту, а я был уверен, что при авторизации с подозрительного IP или попытки брутфорса меня уведомят, а аккаунт заблокируют, ведь телефонный номер Госуслуги и так знают.
По-видимому, пароль от Госуслуг мне пришел в голову еще раз в качестве пароля от какого-то сайта, где я зарегистрировался с той же почтой, и с тех пор пара «почта-пароль» слилась в базы злоумышленников. Это все, что вам нужно знать о причинах произошедшего. Теперь о последствиях.
Утром 11 июля мне потребовалось авторизоваться на сайте Госуслуг, но «пользователь с таким email не зарегистрирован». Я набрал службу поддержки, назвал свой номер СНИЛС, а мне (не спрашивая всяких контрольных вопросов, что в моем случае было как раз хорошо) техподдержка заявила, что с этим номером СНИЛС аккаунт заведен 5 июля, почта и телефон там другие, а тот, в котором была ваша почта и телефон, удалены того же числа.
Была заведена заявка на техподдержку (удивительный ответ пришел позже и прочитать его вы сможете в конце статьи). Цель заявки — просто описать мне произошедшее, и по возможности выяснить, какие именно действия были предприняты еще в старом аккаунте (меня интересовало, авторизовались ли они через ЕСИА где-то еще, пытались ли создавать электронные подписи, брать кредиты именно под старым аккаунтом, так как в любом случае сам бы я увидел только историю нового аккаунта). Более того, оператор сказал, что в системе они не видят истории событий удаленных аккаунтов, а так бы с радостью рассказал бы, но, похоже, на том уровне, что есть у них доступ, такую историю им не видать.
Кроме того, оператором в аккаунте был перебит телефон и емейл на мои, мне пришла СМС подтверждения, и я смог зайти внутрь, полюбоваться на художества злоумышленников, прямо с телефона. Кроме того, я тут же подтвердил аккаунт через приложение Сбербанка. Расследование началось!
Первым делом обратил на себя адрес регистрации, он был явно невозможный с точки зрения классификаторов адресов КЛАДР, даже удивительно, как удалось такой внести:
195009, г Санкт-Петербург, пл Ленина, д. 89, кв. 37. Поиски 89 дома на Площади Ленина в Петербурге у меня успехом не увенчались.
Затем я стал смотреть, что в моем аккаунте вообще осталось «моего», а что пропало навсегда. Первый беглый взгляда показал: исчезли внесенные в базу дети, но остались автомобили, остались выпущенные еще под тем моим аккаунтом электронные подписи, но исчезли обращения в госорганы вместе с их ответами (включая обращение в ГИМС, электронный отказ которого прямо сейчас у нас обжалуется в суде, к счастью, все документы и электронные подписи были выкачаны заранее). В общем, возникло ощущение, что то, что как-то внутри Госуслуг имело связь с емейлом или телефоном, оно здесь, а что было привязано к какому-то другому идентификатору, то пропало.
Поначалу мне даже показалось из-за этого неполного исчезновения, что все это последствие сбоя, невнимательной работы с БД на продакшене, а техподдержка в сговоре и пытается замести следы — я расчитывал, что пропадет уж все. Более того, я авторизовывался новым аккаунтам в ЕСИА в старые сайты, где уже были мои аккаунты ранее, тоже с авторизацией через ЕСИА, и там везде я попадал в свои же старые собственные аккаунты. То есть тоже, емейл был основным идентификатором? Короче, это оказалось довольно удобно.
Захожу в историю событий:
Удивление вызывает процесс перевода учетной записи до Подтвержденной. Что мешало оперировать с подтвержденной, но моей, где вбиты те же СНИЛС и Паспорт? Скорость добавления подсказывает, что орудует скрипт.
А вот история авторизаций:
11.07.2023
09:15:46
Самостоятельное восстановление пароля
176.59.114.231 Android, Chrome
05.07.2023
23:54:08
Вход в систему Профиль пользователя ЕСИА
Авторизация по номеру телефона. Личный кабинет физического лица
95.70.103.36 Windows, Edge
05.07.2023
23:54:03
Вход в систему Портал государственных услуг Российской Федерации
Авторизация по номеру телефона. Личный кабинет физического лица
95.70.103.36 Windows, Edge
05.07.2023
17:48:48
Выход из системы Портал государственных услуг Российской Федерации
95.70.103.36 –
05.07.2023
17:47:28
Изменение адреса электронной почты
95.70.103.36 Windows, Edge
05.07.2023
17:47:21
Вход в систему Профиль пользователя ЕСИА
95.70.103.36 –
05.07.2023
17:47:19
Вход в систему Портал государственных услуг Российской Федерации
95.70.103.36 –
05.07.2023
17:47:17
Из нее пока ничего такого интересного не следует. Принимаюсь читать о возможных последствиях угона УЗ Госуслуг, понимая, конечно, что основные интересности могли произойти со старой УЗ, к которой нет доступа. Новых электронных подписей нет, объекты недвижимости вроде пока все те же самые в списках имущества в приложении налоговой. Возникает идея проверить кредитную историю — в ней могут отражаться и взятые кредиты (как раз прошло 5 дней и все кредитные организации, включая микрокредитные, должны донести свою информацию о них), и запросы к кредитной истории от таких организаций.
Перехожу на сайт https://person.nbki.ru/ и нахожу там…
Во-первых, нахожу, что сам еще в 2022 году формировал отчет по своей кредитной истории, хотя напрочь не помню для чего и зачем это делал. Далее, в 5 июня был запрос рейтинга ПКИ теми самыми злоумышленниками.
Интересно, что время запроса — еще при «жизни» старого аккаунта, в 16:46. Как уж авторизация ЕСИА пропускала его и со старой УЗ, и с новой УЗ, я так и не понял.
Очевидно, это значение сподвигло их как-то попытаться проделать с аккаунтом то, что они проделали.
Формируем новый отчет кредитных историй и смотрим на предмет подозрительного. А там:
Запрос к кредитной истории от некого ООО МКК «Триумвират»
Гуглим этот «Триумвират»… А там все отзывы примерно про мою ситуацию: https://banktop.ru/mfo/privetsosed/
Регина (Казань) | 12 июля 2023
Недостатки: Мошенники
Комментарий: Взламывают госуслуги, оформляют онлайн кредит, когда звонишь им то говорят что кредитов на твое имя у них нет. А в итоге висит просроченный долг. Удоды редкостные. Портят кредитную историю и ещё и должен остаёшься. Если кто‑то решил с ними вопрос положительно с свою сторону расскажите.
Михаил (Москва) | 02 июля 2023
Достоинства: Ничего
Недостатки: Мошенники
Комментарий: Украли данные паспорта после взлома гос услуг и взяли микрозайм. буду обращаться в суд.
Анонимно (самара) | 30 июня 2023
Достоинства: ничего
Недостатки: Твари ох…
Комментарий: В мае взломали госуслуги и, как оказалось, оформили микрозайм на сумму в 5000 рублей! Я узнала об этом чисто случайно, из приложения сбера, когда увидела что у меня какой то левый кредит, который я не брала даже! Позвонила им, сообщила об этом, они суазали оформлять заявление в мвд, а потом направлять им на почту талон и само заявление. Будьте аккуратны и бдительны. Обязательно проверяйте кредитную историю раз в год.
Анонимно (Орел) | 28 июня 2023
Недостатки: Твари, мошенники! Крадут данные, оформляют кредиты на людей без их ведома.
Комментарий: Крадут данные, взламывают госуслуги, затем полностью удаляют кабинет госуслуг. Нет никаких данных, оформляют на людей кредиты без из ведома. Портят кредитную историю людям.
Анонимно (Санкт‑Петербург) | 20 июня 2023
Достоинства: Ничего
Недостатки: Взломали через госууслуги, оформили мошейнеческий кредит, и это при условии что я был в командировки без какой либо связи
Ну пока подождем так кидаться с огульными обвинениями на организацию.
Становится понятно, что «работает мошеннический скрипт», который скорее всего использует Госуслуги для копирования данных, достаточных для заполнения формы заявки на микрокредит в сервисе микрокредитов «Привет, сосед» (это и есть ООО МКК Триумвират).
И вот именно тут-то мне и стало страшно. Оказывается, достаточно паспортных данных и правдоподобно заполненной формы, чтобы уже сделать первый шаг к получению микрокредита. Никакого очного предъявления личины к документам уже не нужно! Данные могут быть и не украдены с УЗ Госуслуг, а например, скопированы у кадровика в крупном предприятии. И вообще, мы привыкли думать, что собственно паспортные данные не шибко защищены, но что вообще можно такого сделать с ними, а оказывается можно. Получается, что для защиты от такого, особенно теперь, когда они точно у мошенников есть (хотя были и раньше, ведь звонили же с ними по телефону), паспорт надо менять также, как пароль, как истекший авторизационный токен. Но паспорт это не короткоживущий токен! У меня сейчас в работе несколько «оффлайн-транзакций», в ходе которых я не должен менять паспорт! Короче, ситуация ужасная, но выход из нее был только в том, чтобы подключить за 750 рублей отслеживание взятых кредитов в бюро кредитных историй, без понимания, что же все-таки правильно делать, если такое уведомление таки придет.
Но чтобы сделать это, пришлось еще через техподдержку удалить аккаунт НБКИ, потому что в нем были забиты данные мошенников (емейл) и сбросить их было нельзя. Вот кстати, их емейл. Остался там забит, можете написать пару ласковых… opodg@mailto.plus
Далее, понимая, что паспортные данные все равно скомпрометированы, завожу аккаунт с ними на «мой сосед» и пытаюсь взять тот же займ. С облегчением получаю отказ. Несмотря на рекламные «вероятность одобрения 90%» на этапе предзаполнения:
Далее, без особого доверия, конечно, к полученной информации, звонок в их техподдержку. Сообщаю без доказательств, что я это я, по их запросу, серию и последние три цифры паспорта, и устный ответ, что на ваш документ открытых кредитов нет, а в истории попыток — есть. Принимают заявление на письменный ответ на емейл в течение 12 дней.
Возможно, какой-то антифрод и срабатывает у «моего соседа», мол, зачем нужен микрокредит человеку с рейтингом ПКИ в районе 860, если он прямо сейчас платит «совсем не микро» кредит, и платит в срок и с досрочным гашением.
Наконец, точку с запятой в этой истории поставил ответ от Госуслуг с описанием их внутреннего расследования ситуации:
Уважаемый… җаным!
По обращению, зарегистрированному под номером INC000017615532, был проведен анализ, в ходе которого установлено, что 05.07.2023 года на ваше имя была зарегистрирована в Единой системе идентификации и аутентификации (далее — ЕСИА) учетная запись (далее — УЗ) и подтверждена в Центре обслуживания (далее — ЦО) — Янгильский сельсовет муниципального района Абзелиловский район Республики Башкортостан, адрес: Республика Башкортостан, Абзелиловский р-н, с. Янгельское, ул. Титова, 1
В настоящее время ЦО был заблокирован за недобросовестную работу.
Обращаем внимание, что Служба поддержки Портала не несет ответственности за деятельность ЦО.
Для получения дополнительных разъяснений вы можете обратиться в данный ЦО лично.
Предоставить информацию о более раннем состоянии УЗ не представляется возможным, поскольку УЗ была удалена.
В соответствии с 152 Федеральным законом от 27.07.2006 года «О персональных данных» из Единой системы идентификации и аутентификации удаляются все данные, прямо или косвенно относящиеся к пользователю, поэтому идентифицировать такую УЗ и предоставить по ней какую-либо информацию не представляется возможным.
УЗ могла быть удалена злоумышленниками после получения к ней доступа.
Также вы можете обратиться в отделение Министерства внутренних дел России (далее — МВД) со скриншотами событий в ЛК, для составления заявления.
Предоставление официального заключения, использующего в уголовном деле, происходит по запросу МВД или следствия.
Во избежание несанкционированных действий в УЗ со стороны третьих лиц, рекомендуем включить усиленную аутентификацию, а также задать контрольный вопрос.
Для включения усиленной аутентификации необходимо выполнить следующие действия:
Войдите в личный кабинет и нажмите на ваши ФИО в правом верхнем углу экрана.
В меню выберите пункт «Профиль», далее «Безопасность».
На открывшейся вкладке в разделе «Вход с подтверждением по SMS» нажмите на кнопку «Настроить».
Введите пароль и нажмите на кнопку «Включить».
При включенной усиленной аутентификации при каждом входе в систему по паролю вам будет отправляться sms-сообщение с кодом подтверждения, который необходимо вводить в специальное поле.
Обращаем внимание: при смене номера мобильного телефона происходит отправка кода подтверждения по старому номеру до тех пор, пока новый номер не будет подтвержден.
Задать контрольный вопрос вы можете в разделе «Профиль» в блоке «Безопасность», выбрав «Контрольный вопрос».
Придумайте контрольный вопрос, ответ на него, подтвердите действие паролем от личного кабинета и нажмите кнопку «Включить».
Дополнительно сообщаем: что все события сохраняются в разделе «Действия в системе» вашего личного кабинета. Перейдите по ссылке https://lk.gosuslugi.ru/settings/safety/events, на вкладке отобразятся все выполненные авторизации под вашей учётной записью.
Если вами замечена авторизация на сторонний сайт без вашего ведома, рекомендуем обратиться в службу поддержки этого сайта для уточнения совершенных на сайте действий.
Для сохранения истории взаимодействия при последующей переписке по данному запросу обязательно сохраняйте тему письма.
Благодарим за обращение на Портал госуслуг.
Анализ поступающих вопросов и предложений помогает нам улучшать работу Портала.
С уважением,
Служба поддержки Портала госуслуг
8(800)100–70–10
www.gosuslugi.ru (http://www.gosuslugi.ru/)
Особенно мне понравилась идея поехать лично разбираться с ЦО в Абзелиловский район и объяснение, почему нельзя иметь аудит данных и предоставить их мне же, хозяину удаленного аккаунта, ФЗ о защите персданных.
Я, разумеется, включил двухфакторку через СМС, добавил контрольный вопрос, удалил действующую электронную подпись, пережившую переход в другой аккаунт, так и не разобравшись, можно ли что-то с ней сделать, включил уведомления о входах на емейл.
Разработал свою систему удобозапоминаемых неподбираемых паролей, но она подходит только для татар. Берем фамилию классика татарской литературы, переводим имя на латинский алфавит, конвертим не-ASCII буквы в сочетания, добавляем год смерти. Получаем ghabdullatuqay1913, maecitghafuri1934, fatixaemirxan1926.
Сделал оргвыводы: если сайт знает ваш телефон и емейл, не значит, что в случае «странной» авторизации он уведомит вас сам. Следите за включенностью двухфакторной авторизации и уведомлений.
Впечатление об организации Госуслуг: единая точка, куда сведено много всего, что делает удобным манипуляцию мошенника, но размазанная отвественность, что делает неудобным противодействие им.
Точка в истории еще не поставлена, и возможно не поставится даже после смены паспорта.