Comments 247
Очень интересно!
открытие счёта без ведома владельца паспорта этого счёта - совсем интересно.
Можно ли в МТС-банке открыть счет дистанционно, как в Тинькове?
https://www.mtsbank.ru/chastnim-licam/vkladi/mts-schet/
Дистанционно можно, но карту надо получать в офисе. А туда надо с паспортом. Значит есть сотрудник банка который кому-то выдал карту. Значит можно спросить - когда выдал, и что на камерах.
Вполне так детективная история!
Вот прямо 10 секунд назад случайно открыл себе счёт через ГУ в Почта Банке. Заходишь в ГИС ЖКХ, пытаешься оплатить любую квитанцию по реквизитам, предлагает оплату с комиссией в 50 рублей в любом банке и 0 рублей в волшебном "Виртуальном кошельке". Дай, думаю, проверю ,что за вирт. кошель. Нажимаю и проваливаюсь в предложение заполнить тучу ПДН для открытия счёта в Почта Банке. Нажимаю единственную кнопку "Я ленивая жопа - возьми всё из Госуслуг", аппрувлю доступ и вуаля, через пару минут счёт готов. Никакой двухфакторки даже нет. Если есть доступ к ГУ, значит есть доступ к созданию счёта в Почта Банке.
С такими косяками в безопасности, что описаны в статье и у вас в комментарии это уже не ГУ , а УГ какое-то
3 раза пытался используя ГУ открыть в Почта Банке виртуальную карту в разный период, так счета и карта и не открылись) Используя офф приложения ПБ.
Так попробуй через ГИС ЖКХ, если такая задача стоит.
Там получается очень ограниченное по возможности создание. Т.е. это виртуальная карточка, которую можно пополнять и платить за ЖКУ без комиссии.
Для того, чтобы получить сберегательный счет, чтобы потом к нему выпустить карточку, придется прийти ногами в Почта-Банк. Причем там еще и это, похоже, не самый стандартный сценарий, и сотрудница куда-то там звонила и выясняла как сделать что нужно (апрель 2022 года, Москва).
у меня, например, есть счёт (открытый, правда, в офисе банка с помощью операциониста), с которого я могу производить платежи (и переводы частным лицам) без всякой карты. Собственно говоря, я на карточных счетах обычно не держу больше двух-трёх тысяч рублей, с тех пор как с одной карты однажды исчезло три тыщи в уплату штрафа
Приставы списывают со всех счетов. Сразу.
Я не исключаю, что в каком-то банке такое возможно, зависит от внутренней политики банка. Но, например, деньги, доступные на кредитном счёте, принадлежат банку, а не вам. Не очень логично было бы, чтобы банк отдавал по запросу приставов свои деньги, а не ваши. Всё-таки не до такой степени госорганы между собой срослись. В моём случае списали 3000 рублей как только я положил на карточный (дебетовый) счёт сумму, превышающую это.
У коллеги загнали в минус пустые карты. Но процент по ним банк не начислял.
если деньги на ВАШЕМ кредитном счете, то это ваши деньги, а не банка. У меня была ситуация когда однажды в банк без моего ведома пришел запрос о взыскании (какой-то штраф рублей 100), но на расчетном счете не оказалось такой суммы, Банк (второй в стране) взял да и закрыл мой вклад (где были деньги) раньше срока окончания и списал эти деньги по запросу. Это нарушение законов РФ о неприкосновенности вкладов. Но Банкам плевать на это, как показала жизнь
Не будем исключать возможности злоупотреблений, возможно, политика какого-то банка позволяет ему выплачивать по запросу приставов собственные средства вместо заёмщика, но в общем случае деньги, доступные клиенту в пределах кредитного лимита - это деньги банка, а не деньги клиента. При списании с такого счёта [при расчётах кредитной картой по инициативе клиента] в отчёте о движении средств возникает дополнительная строчка "выдача кредита".
У меня лежали деньги на трёх дебетовых картах разных банков, но приставы стали списывать только с карточки сбербанка, где было пару тысяч всего. Возможно, это связано с тем что списывали по суду долг за жкх, но я всё равно в хорошем смысле удивился, что с остальных карт ничего не уходило, хотя долг висел полтора месяца, пока не погасил. Так что насчёт списания сразу со всех счетов - не всегда.
Продолжать тестирование не буду, но там же можно онлайн оформить кредит О_О
Сим-карта: покупаем карту саморега (или заказываем e-SIM) и регистрируем ее через "госключ", а "госключ" можно подключить, если есть доступ в Госуслуги. Физически карту можно не получать, т.к. есть доступ к онлайн-банку. А сумма возврата в 15000 рублей говорит о том, что в банке для более крупных сумм требуется дополнительная идентификация клиента.
Подозреваю, что сумма возврата там 15600 рублей. Это 13% от 120000 рублей - максимум, с которого можно получить налоговый вычет за один период.
Безусловно) Именно поэтому я не написал "я абсолютно уверен, что сумма возврата 15600 рублей", а написал "подозреваю". Просто уже несколько раз сталкивался с фразой "что-то около 15000" в контексте обсуждения налоговых вычетов, и на поверку оказывалось, что сумма была ровно 15600.
P.S. Не то чтобы я постоянно обсуждаю с друзьями и родственниками налоговые вычеты, но как то вот это факт в памяти отложился.
Опять начинается любимая тема поиск крота, там где его нет. А зачем получать карту, если наверняка с этого счета можно пополнить какой-нибудь киви или номер телефона, и оттуда спокойно обналичить
а зачем пластик?
получить на карту и перевести на другую не нужен пластик
На деле ничего не будет. Уже не первый раз МТС скрывает своих сотрудников от правосудия.... ибо выгодно.
у меня на телефоне приложение госуслуг предложило установить дополнительный пинкод именно на вход в приложение. Без него отказывается работать теперь. Так что пинкодов теперь 2.
Если у вас несколько пинкодов (паролей и т.п.), то в пределе они сходятся к одной и той же величине
В трактовке NIST, за отдельный фактор считаются только разнородные методы. То есть если при аутентификации у вас спрашивают десять паролей и больше ничего, это все еще один фактор - фактор знания.
Но ведь остается всё равно два фактора:
фактор владения
фактор знания
Вот тоже меня удивляет, что нельзя отказаться от установки пинкода. Может, я параноик и готов каждый раз вводить пароль и код из СМС!
Не скажу конкретно за приложение "Госуслуги", но, например, приложение моего банка при запуске всякий раз требует ввести пин-код. И даже если я его не закрывал, оно все равно довольно часто просит ввести
Наполовину. Если уводятся логин-пароль, а не телефон целиком - то всё-таки двухфакторка.
Это какой современный телефон не имеет изкоробочного шифрования?
При установке кастома почти во всех инструкциях зачем-то присутствует пункт по отключению шифрования. Хотя оно опционально: я не отключал и ввожу пароль для расшифровки /data при входе в TWRP. А сам кастом может появится потому, что кто-то заказал для родственника на Али китайскую версию подешевле, а потом кустарно русифицировал.
почти во всех инструкциях зачем-то присутствует пункт по отключению шифрования
Наследие времён андроида, когда шифрование было опционально а устройства - слабыми. Почему пишут до сих пор? Потому что кто-то до сих пор не умеет собирать twrp корректно. Или потому что на устройстве было FDE из коробки, а тот кто собирал прошивку не сумел завести FBE и при этом сломал FDE.
Но если ты ставишь кастом - я по умолчанию заношу тебя в категорию "тех кто понимает что делает", даже если ты не осознаешь всех возможных последствий
Не совсем - у меня "мобильные банки" и прочие "госуслуги" на одном смартфоне, а сим-карта с "вторым фактором" - совершенно в другом. И так уже много лет (две трубы я ещё кнопочные носил - для оценки качества покрытия разными операторами на объектах).
Интересно каким образом утек пароль?
У меня в прошлое воскресенье ночью угнали акк Госуслуг, выпустив (судя по всему) дубликат симки. Мне пришло смс о сбросе пароля, я проснулся и успел снова сменить пароль и удалить акк. Удалил я потому, что увидел внутри подготовленные заявки на микрокредиты.
В сентябре 2019 года Сбербанк просрал 60 млн персоданных. Теперь мне каждые 6-7 месяцев звонят мошенники, называя мои ФИО и адрес, и пытаются вызнать реквизиты карт. Я благоразумно решил, что удаление аккаунта Госуслуг спасёт меня от микрокредитов. А от Сбера я ещё в 2020 году ушёл после первого звонка мошенников.
Теперь они смогут завести аккаунт на вас, но уже со своим телефоном и паролем?
Возможно. Но придётся подтверждать личность в МФЦ с липовым паспортом.
Не обязательно. Достаточно иметь своего человека в "Центре регистрации", коих по стране тысячи (и это далеко не только МФЦ).
https://map.gosuslugi.ru/?layer=co
Там можно и упрощенную подтвердить, и новую зарегистрировать, и старую удалить.
Мне звонили мошенники, после того как зарегистрировал счет ИП в Альфе. Причем звонили в тот день и час, когда я договаривался о звонке с менеджером. Знали мое имя и что я только что открыл счет. До сих пор не понял, то ли это мошенники были, то ли сотрудник Альфы. Меня смутило, что он запросил паспортные данные.
Как мне кажется, большинство ПД, было слито/посрано появления понятия перс.данные.
Мошенники и подобные им, в большинстве случаев, звонят мне на один и тот же номер, который в "девичестве" был МТСовским, а МТСовские базы, в 2000-х, появлялись и на дисках и в инете , регулярно.
На второй номер, где есть сервисы, "непонятные звонки", прорываются редко, и обычно это случается, если пользуешься услугами менеджера Альфа-банка. Так же во время или после общения с менеджером по телефону, может поступить звонок с левого номера, с предложением халвы или другой гадости.
Для себя открыл следующее(подойдёт не всем): Периодически менять хотя бы фамилию, с изменением хотя бы одной буквы, буква должна быть хорошо слышна по телефону. И никогда не обновлять свои данные, там где это обновление не обязательно или не несёт никаких последствий, как отключение услуги, если перс.данные у оператора услуги и в МВд не совпадают. В таком случае ,при звонках от мошенников, очень смешные случаи случаются, можно поднять себе настроение, и опустить звонившему, у которого "рыбка" срывается, через 1.5 часа разговора.
А зачем вы с ними разговариваете?
Полагаю, что пароль всё же не был столь уникален и утёк в этом году среди множества инцидентов
Предположу VPN-приложения
У меня вчера прилетело СМС о входе от двухфакторки Госуслуг. Благо что включил её. Пароль был сложный, уникальный, нигде не использовал. Где его смогли добыть - не пойму.
Вариантов очень много. Вспомните ввод проверки паролей у Гугла, когда все пароли, сохранённые в браузерах утекли. Вирусняки и т.д. Ограничения по возможной утечке хранятся только в голове.
Админ госуслуг в заббиксе увидел уведомление об отключении 2FA, зашел на сервак с паролями, запустил что-то типа mimikatz но для базы данных РусДБ, отловил в памяти отправляемый на проверку пароль при очередном входе и сохранил себе
потенциальной недоступности входящих смс.
а это еще почему? входящие смс бесплатны, работают даже при ограничении услуг связи (отрицательном балансе).
... при поспешном переезде за границу РФ ...
Это не важно, за границу СМС доставляются без проблем
Главное не забывать периодически "пользоваться" телефоном, иначе его отберут, вот тогда будет плохо
Главное, чтобы были списания денег.
Что интересно, через некоторое время я заметил, что простая отправка СМС в роуминге НЕ приводит к списанию ДС.
Приходится каждые 3 месяца подключать платную услугу и через несколько дней отключать её, чтобы номер оставался "активным".
Что интересно, через некоторое время я заметил, что простая отправка СМС в роуминге НЕ приводит к списанию ДС.
Точно?
Какой опсос, какой тариф?
Интересно, что далёком 2013 году купил sim-карту мегафона, в 2014 перешёл на Yota с сохранением номера, а в 2016 уехал из страны. Sim-карта до сих пор рабочая, приходят СМС, уведомления и т.д., но, при этом, с 2016 года ни разу не использовал платных услуг.
Нужны не "платные услуги", а движение средств на счете. Пополнение/списание (за звонки/смс например).
Я вообще счёт не пополнял ) Ничего не оплачивал с номера, не производил звонков. Ни разу с 2016 года. Только входящие СМС при отрицательном балансе.
Но номер активный и до сих пор принадлежит мне.
Склонен полагать, что при переходе с одного провайдера на другой, сам номер пришлось выкупить (там была какая-то плата в 300-500 руб, точно не помню). Возможно, в этом есть сокровенная тайна долгой жизни симки без блокировок. Мой мегафоновский номер сохранился на Yota, включая код (+7925).
Да, кстати, номер всегда в сети, так как я телефон беру всегда 2х симовый и первой симкой стоит местный номер, второй симкой российский.
При выезде на ПМЖ вы становитесь очень зависимым от физической сохранности маленькой симкарты. Её можно: потерять, сломать, инактивировать (не пользуясь ей на протяжении 3+ месяцев). Также есть страны и операторы которые не очень быстро доставят вам смс. Это кажется ерундой, но при долгосрочном выезде шансы кратно увеличиваются. Теряя возможность принимать входящие смс вы гарантированно лишаетесь доступа к огромному количеству ресурсов и действий. И единственный путь восстановления ехать обратно в РФ.
Можно выписать доверенность чтобы за вас это делал другой человек. Можно вообще ему сим-карту оставить.
Симкарту вставляете в тупую звонилку (заодно защита от мобильных вирусов), которая всегда дома (соответственно, её очень сложно потерять), а тариф у российского оператора должен быть с абонентской платой (сам по себе или за какую-то услугу), чтобы стабильно списывал сколько-то денег раз в месяц.
заодно защита от мобильных вирусов
Вы с этим поаккуратнее
Вазап отваливается, а его какого-то хрна до сих пор многие используют
Телефон с одной симкой и замена симкарты на местную, не?
Не знаю в каком качестве участвует секретный вопрос в процедуре восстановления доступа, не пробовал, но раз дают такую возможность, то его тоже стоит добавить, естественно не указывая в качестве ответа на него никакой публичной информации.
:)
Мне помогло отключение uBlock Origin и VPN.
Необходимо запустить Chrom без CORS policy, костыль, но работает.
"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --disable-web-security
Еще вроде надо --user-data-dir какую-то указать. Если открывать со стандартным профилем, то флаг отключения безопасности не сработает.
Подтверждаю, вышло сгенерировать QR без ошибки CORS только через запуск Chrome с ключом disable-web-security И указанием нового профиля через user-data-dir.
Спасибо!
Спасибо, теперь получилось."C:\Program Files\Google\Chrome\Application\chrome.exe" --user-data-dir=C:\tmp\tmp-chrome-data-dir --disable-web-security
Мешает блокировщик рекламы или ВПН.
Такая же проблема при входе без vpn из-за рубежа. У госуслуг разные настройки доступа для разных поддоменов, и надо найти такой впн, с которого открываются они все.
Еще один кейс - открыть с браузера под Android.
Это будет железный ключ? Поясните, пожалуйста
Софтовый, но на устройстве владельца аккаунта
А его можно восстановить при утрате телефона? И какой системы TOTP подходит?
А его можно восстановить при утрате телефона?
Как обычно. Записать код генерации в хранитель паролей и прочитать.
Это, конечно, неправильно, но правильный способ, когда имеются несколько ключевых артефактов, и утерянный можно восстановить при помощи оставшихся, есть приблизительно нигде.
TOTP уже сам по себе способ генерации, как правило софт уже умеет стандартные реализации TOTP/HOTP, но некоторые конторы в дополнение к стандартным пилят что-то своё (например яндекс, вроде когда-то обещал раскрыть информацию о своей реализации...).
По поводу восстановить - зависит от того, какие возможности представляет софт. По умолчанию подразумевается что ты отсканировал QR-код или ручками добавил токен на необходимые устройства и пользуешься. Но, различные приложения дают различные возможности, в том числе и бекап, и синхронизация и ещё чертичто.
Примеры софта: Яндекс.Ключ (умеет кроме своего - ещё и стандартные), google authenticator (в штатном виде не имеет возможности бекапа, но вроде как был опенсурс раньше, и старые версии пересобирались сообществом с такой фичей), authy, пароли iCloud, bitwarden (умеет такое в себе), keepass (вроде мог, возможно с плагином), да тысячи их под любые платформы. Не все из них стоят внимания, но их много.
P.S. хоть это и софтовая штука, но есть и "аппаратные" токены, куда можно скормить ключ, и они будут генерировать коды
P.P.S. скорее всего сайт при включении 2FA предложит записать коды восстановления, тоже резервный способ восстановления доступа
Зря вы keepass в самый конец запихнули:-) Его совместимый форк KeepassXC отлично работает с TOTP токенами. А для мобилки есть KeepassDX, тоже умеет хранить и генерировать TOTP.
Записать их в базу проще всего с телефона, надо просто предложить из сканера qr-кодов поделиться текстом, зашитым в qr-коде, "в запись" в KeepassDX. После этого разделяемый секрет сохраняется в записи базы парольного менеджера.
P.P.S. скорее всего сайт при включении 2FA предложит записать коды восстановления, тоже резервный способ восстановления доступа
Госуслуги не дают резервных кодов. Вероятно сбросить креды доступа можно ответом на контрольный вопрос, но эту тему я не исследовал.
Зря вы keepass в самый конец запихнули:-)
Всего лишь список без ранжирования, в порядке в котором смог вспомнить:)
А вообще я за U2f и FIDO2, тем более что таким токеном может быть любой современный андроид/ios телефон, а при наличии Bluetooth в ПК - ещё и в паре с ПК можно бфло бы задействовать. Но увы, такой радости у нас пока нет
P.S. я давно и плотно подсел на селфхост Bitwarden (точнее альтернативную реализацию vaultwarden), я не знал о том ято keepass неплохо прокачали в плане удобства)
У Google там должен быть стандартный QR с otpauth:// URI, то понимает множество разных приложений, как в форме QR-кода, так и в форме закодированной в нём строки.
К сожалению не могу потрогать то что экспортирует google authenticator, когда трогал последний раз - он ещё такое вроде бы не умел.
Но как вам уже подсказали, там почти наверняка будет стандартное. И если новое приложение её не понимает (что маловероятно), то можно от URI попробовать оторвать только токен и скормить его
В andOTP есть резервное копирование.
Спасибо большое, что поделились столь поучительно историей одного своего знакомого!
Самым главным злоумышленникам, даже пароль не нужен, да и гос-услуги им не нужны, чтоб с вашей жизнью сделать всё что угодно ...
После появления возможности записаться в добровольцы (а также обжаловать решение о мобилизации) через госуслуги, злоумышленник может подать за гражданина заявку, которая внесет существенные изменения в его жизнь…
Подать заявку в армию
Взять кредит на 5 млн
Дождаться "возвращения" бойца, которое автоматически погасит кредит
айти стартап 2к22 по русски
как бы страшно это не звучало, но по факту такое практически невозможно. угроза персональным данным и цифровым финансам несомненно есть, но в остальном все ок. никакой суд не признает приоритет строчки в бд над фактическим волеизъявлением гражданина.
каким бы жутким и страшным не казался интернет - всё же пользы от него несомненно больше, даже с учетом всех алчных взломщиков-пид*расов, которые за 500 рублей и бабушку в гроб не постесняются уложить.
Недавно (в августе) у меня и моих родственников протухли пароли в ГУ, естественно поменяли.
А у вашего знакомого не было принудительного сброса пароля? Он случайно старый пароль при этом не поставил?
Может эта массовая смена паролей была вызвана их утечкой, о которой умалчивают?
Госуслуги не дают установить старый пароль повторно. Раньше тоже так было.
Пароли всем гражданам сбросили принудительно. У меня до этого он 8 лет стоял. Допускаю, что причиной могла быть утечка, но восстановить доступ без телефона и электронной почты было невозможно.
Мне никто не сбрасывал.
Их не просто сбросили, но и ввели принудительное усложнение, что ещё сильнее намекает на утечку.
P.S. Усиленно захотели привязать телефон. Причём, не просто по СМС, а исключительно визитом в офис аффилированных структур.
У меня очень старый и давно неиспользуемый аккаунт.
старый пароль не подошел, пришлось сбросить и создать новый,
TOTP включить нельзя, выдает ошибку: "Произошла ошибка, попробуйте позже".
телефонный номер добавить невозможно (потому что до центра обслуживания я не могу добраться законным путем, а клиентом одного из перечисленных банков не являюсь):
У меня пароль был сложный, сгенерированный генератором как положено со всеми знаками цифрами буквами, длинной 25 символов - сбросили.
двухфакторная аутентификация была отключена для удобства
Ну вот серьёзно? Человек вкидывает все свои данные на один сайт и такой:«Ой ждать смс, чет не удобно» Что в голове? Компотик?
По статистике гугла двухфакторкой для GMail пользуются меньше 10% пользователей. Статистика не самая новая, но думаю +- актуальная. Как думаете какой процент будет на Госуслугах? Что-то мне подсказывает, что не многим выше, если не сильно ниже. Я не возьму на себя смелость рассуждать о качественном наполнении черепной коробки всех этих миллионов людей. Среди них наверняка есть ваши друзья и родственники. Это всё наши соотечественники которые тоже уязвимы. Статья лишь иллюстрирует об одном реальном и, вполне возможно, массовом способе мошенничества. Нравоучения о важности двухфакторной авторизации, конечно, важны, но не в такой форме.
По по статистике гугла двухфакторкой для GMail пользуются меньше 10% пользователей.
И они явно не очень хотят это менять. Или им не дают. Потому что с их ресурсами можно добиться того, чтобы на каждом углу(а не только в онлайн магазинах) продавались аппаратные ключики. И не за $30 - они явно столько в производстве не стоят (смотри SIM карты, которые по сути то же самое, и которые дают бесплатно). И залить рекламой все вокруг так, чтобы каждый понимал, что если у тебя этой штуки нет - ты страшный ретроград. А уж использовать некую железку, чтобы входить куда-то -- это умеет и привык делать каждый, у кого замок на входной двери есть.
Cloudflare попытался, правда это по слишком ограниченной выборке попадёт
Так и Гугл, формально, попытался. Не зря же именной ключик выпустил. Но пытаются они как-то ну очень осторожно. Так, что хотеть воспользоваться начинают только те, кто уже точно знает, почему и для чего это надо, а не все подряд.
О, я тут вспомнил про passkey, а ведь Гугл так-то не забил, он (как и эпл) в своё время проволок на андроид функционал FIDO U2f токена. А теперь так же как и эпл приволок WebAuth на стероидах, что позволяет использовать телефон как второй фактор (и даже для беспарольного доступа).
Т.е. ты добавляешь телефон как WebAuth/U2f токен, если сайт умеет в passkey или u2f - телефон запросит для проверки пароль экрана блокировки/биометрию и автоматом залогинит. Если же вход на ПК или на устройстве без возможности u2f но сайт умеет в passkey - будет QR код на мониторе. Ты сканируешь камерой телефона, и он подтверждает твою личность
телефон как WebAuth/U2f токен
А вот не надо бы так. Токен должен быть токеном. Ну ладно для чего-нибудь незначимого - можно и телефоном. Но для входа в саму почту, через которую восстанавливается доступ на все остальное - это нужно нормальный железный ключ. Точнее, несколько.
EDIT после просмотра этого:
"...and stores my passkee safely in my Google account..."
Вот не стоит таким пользоваться, по моему. Разные ключики должны жить локально, а не где-то в облаке.
and stores my passkee safely in my Google account
Он же не в чистом виде там хранится, уж кто-кто а Гугл знает (не могу подтвердить что он это выполняет) как хранить данные. К слову, passkey есть и на ios, и оно тоже синхронизируется.
А вот не надо бы так. Токен должен быть токеном
Современный андроид и ios очень неплохо защищены из коробки, есть у огромного числа людей, схема аутентификации сильно надёжнее логин/пароль. В целом это лучше чем есть сейчас, но если сильно важно - WebAuth же не отобрали.
Он же не в чистом виде там хранится, уж кто-кто а Гугл знает (не могу подтвердить что он это выполняет) как хранить данные. К слову, passkey есть и на ios, и оно тоже синхронизируется.
В оригинальной реплике речь шла про доступ к самим учеткам гугла. Креды для входа в нее синхронизируются откуда?
Проблема не в этом. Судя по FAQ c fidoalliance (како-то кривоватый сайт, прямую ссылку на нужно место не получается взять):
How does a passkey become available across a user’s devices?
Device OS platforms are implementing a feature by which the passkeys on the device (for example, a mobile phone or laptop computer) are synced to the device cloud tied to the user’s platform account (eg, Apple ID for iOS/macOS, Google account for Android & ChromeOS, Microsoft account for Windows). Syncing of passkeys is end-to-end encrypted.
When a user creates a passkey on any of their devices, it gets synced to all the user’s other devices running the same OS platform which are also signed into the same user’s platform account. Thus passkeys created on one device become available on all devices.
Notably, if the user gets a new device with the same platform OS and sets it up with their platform account, the user’s passkeys are synced and available for sign-in on the new device.
Ну т.е. ключики шифруются и в облаке хранится криптоконтейнер. Но вот чем он шифруется?
Сценарий:
1) Берем новый смарт
2) Начинаем подцеплять его к учетке гугла (а если я хочу смарт без такой привязки?)
3) В процессе регистрации говорим "я забыл пароль, хочу восстановить доступ"
4) Что-то там такое делается, видимо связанное с номером телефона, SMS-ками итд итп (уж не знаю, как это сейчас у Гугла выглядит)
5) Наконец, залогинились и получили криптоконтейнер.
А откуда ключи для его расшифровки взялись? Тоже у Гугла хранились что ли?
EDIT: да и, собственно, вся процедура синхронизации в общем делает довольно бессмысленным весь WebAuthn. Если синхронизуем - то сайту достаточно выдавать пользователю клиентский SSL сертификат, его запрашивать для логина(давным-давно так можно, но очень непопулярный способ), а сами сертификаты синхронизировать между устройствами.
В оригинальной реплике речь шла про доступ к самим учеткам гугла. Креды для входа в нее синхронизируются откуда?
Речь шла про "попытку" Гугла, а не про доступ только к ресурсам Гугла. По сути он участвовал в разработке нового стандарта для отрасли, в случае с гугловским решением - то оно в учётку Гугла. В случае решения apple - в apple keychain живущий у них в облаке, ну и Майкрософт куда-то к себе (не знаю работает ли у них).
Начинаем подцеплять его к учетке гугла (а если я хочу смарт без такой привязки?)
Подозреваю что без привязки у тебя как минимум не будет синхронизации, но я не имею на руках современного андроида для тестов. Вроде бы как u2f - оно не синхронизировалось, но я не помню был ли тогда аккаунт Гугла на телефоне.
Пунты 3-5 - надо знать как у Гугла устроена эта кухня, увы, я сходу не подскажу. В целом то способы разделения секрета есть, но что именно там...
По поводу части "EDIT", не бессмысленно ибо:
Во-первых на порядки более user-friendly.
Во-вторых сайт не передаёт учётные данные на устройство (что в этом плане лучше), их формирует само устройство а после согласовывает аутентификацию/авторизацию с сайтом, так-же не передавая "секрет" серверу.
Во-вторых сайт не передаёт учётные данные на устройство (что в этом плане лучше)
Не вижу причин, почему генерацией ключевой информации, отправкой Certificate Request сайту и получение обратно готового сертификата не может заниматься браузер+железный токен. Собственно, у меня большие подозрения, что именно это сейчас и происходит, просто все как-то слишком далеко 'под капот' спрятали и почему-то решили мимо механизмов SSL пройти.
Не знаю, откуда берутся все эти люди, которые вечно пытаются какой-то пропагандой загнать всех к счастью, желательно - силами правительства или корпораций. А потом (иногда даже те же самые) люди удивляются, откуда берётся кибер-гулаг и почему в правительстве одни и те же авторитарные рожи десятилетиями.
Между тем, например, есть исследования, которые показывают, что подростки часто совмещают вполне хорошее знание правил информационной безопасности с полным пренебрежением этими правилами. Считая, что это ни для чего не нужно.
Так что, вероятно, десять процентов - это те, кто в состоянии осознать, для чего это, а потому это для них также очевидно, как замок на двери (выбор которого, к слову, тоже нетривиален и часто ведёт к "театру безопасности"). А остальным до этого нужно дорасти.
Потому что взлом Гмэйла практически ничего не дает у 90% населения. В большинстве случаев это пустой профиль для активации андроида.
Гуглу двухфакторка особо не нужна, т.к. при первой попытке входа с незнакомого устройства Гугл требует подтверждения в телефоне.
Ну и опять же, как эта двухфакторка реализована. Я ей пользуюсь для ВК, решил добавить в Яндекс-ключ Яндекс-почту, по результату у меня сгенерированный пароль не подходит для авторизации, долго бился и в итоге через сброс паролей восстанавливал доступ, указывая д.р., телефон, резервную почту, любимую учительницу и пр.
Компотик в голове у тех, кто завязал вообще все на смс, при том, что симку может перевыпустить любая Маринка в Зажопинске.
у меня в голове банальная мысль о том, что если мои данные у кого-то есть - их передача третьим лицам лишь вопрос времени. майор ли сотрудник мфц ли - но факт в том, что я не знаю внутренней кухни системы, оттого не то что не могу никак повлиять - даже и предположить не могу в каком точно виде и качестве эта услуга предоставляется. всё, что есть - знание о том, что люди в 95% стараются творить пользу, а не целенаправленно гадить (животный инстинкт тяги к социальной значимости).
двухфакторная аутентификация была отключена для удобства
может не компотик - может просто паранойи нет у человека? или ему допи*ды на косяки третьих лиц, ведь это их косяк - утечки и уязвимость системы, не?
беда не в том, что человек не хочет тратить время на лишние телодвижения; а в том, что системы правозащитные не защищают достаточным образом; что не обсуждаются открыто эти проблемы; что никто не обращает внимание на это. Зато вместо этого вешают еще один замок на свою дверь.
Совсем скоро, можно будет стать нищим и вообще исчезнуть для мира, когда взломали Госуслуги или потерял смартфон
Потрясающая операция ради 15 тыс. рублей...
Мельчают жулики.
Пять старушек - уже рубль.
У них не много свободы выбора - сидеть анализировать содержимое аккаунтов, или просто сидеть
Плюс, возможно, там работают не руками - после получения доступа к госуслугам на аккаунт натравливается бот, выполняющий типовые действия по открытию счетов, получению доступа к налоговой, подаче заявок и т.д.
Интересно в истории то, что при смене симки злыдни сразу получили пароль, у операторов сейчас после выдачи новой SIM/eSIM на сутки блокируются входящие СМС, а на старую сим уходит оповещение о начале процесса замены. Время на реакцию есть...
PS: Спасибо @mm3 за новость про TOTP, надо будет подключить... Посоветуете хорошее приложение TOTP для iOS, а то начал смотреть в аппсторе - почти все что-то хотят обо мне собирать или куда-то отправлять...
Отвечу сам себе - для iOS отдельное приложение не нужно, функционал TOTP есть в системе "из коробки" - заходим в Настройки - Пароли - заводим учетку для gosuslugi.ru, если её еще там нет.
Потом запрашиваем на госуслугах переход на ТОТР, и показываем камере QR-код (не в приложении Пароли), оно спрашивает - добавить пароль в учетку - добавляем и там появляется строчка Код проверки и обратный отсчет актуальности кода (из забавностей - на скриншот код не попадает ;) ).
Может, не совсем по теме, но вдруг кто не знал:
1) Чтобы злоумышленник не смог восстановить вашу сим-карту по доверенности, и с ее помощью увести все ваши учетки, можно заранее у своего оператора связи оформить запрет на любые действия с сим-картой по доверенности. После этого для подобных операций (в теории) потребуется личное присутствие человека, на которого оформлена симка.
2) С 1-го октября нынешнего года можно подать в банк заявление о запрете на различные действия от своего имени, такие как: онлайн-переводы, онлайн-кредитование, и т.д., либо об установлении лимита на такие операции.
Механизм, насколько я понял (могу ошибаться), работает пока по-тупому: в каждый банк нужно подавать отдельное заявление. Но это уже движение в правильном направлении!
Была идея об установлении такого запрета в БКИ (т.е. в одном месте), чтобы различные банки сами проверяли его наличие/отсутствия перед выдачей кредита, но почему-то пока так не сделали. Сейчас же получается такая ситуация: в девять банков вы подадите заявление о запрете, а мошенники без проблем оформят на вас кредит в десятом банке. В общем, есть еще над чем поработать.
3) В Росреестре можно установить запрет на продажу недвижимости с использованием ЭЦП без личного участия собственника (т.е. через Госуслуги).
Вот почему у нас в государстве всё через одно место устроено.
У меня есть полная уверенность, что всё должно работать абсолютно в обратную сторону.
Т.е. я должен не бегать и везде подавать лично заявления на запрет тех или иных действий, а наоборот ЕСЛИ МНЕ НАДО - то должен прийти и подать заявление на ВКЛЮЧЕНИЕ возможности таких действий.
А по умолчанию, без такого заявления - вообще ничего не должно быть доступно.
Тем кому это реально требуется - оторвут один раз от дивана известное место и оформят ОДНОРАЗОВО! такое заявление и будут пользоваться всеми благами онлайн кредитов и продажи своей квартиры через сайт.
А моей бабушке - это точно не надо и никогда уже не понадобится, так зачем ей бегать по всем инстанциям и везде "запреты" ставить?
В большинстве других стран вам именно помешать придётся и в очередях постоять и нервов помотать во много раз больше.
То что в госуслугах есть косяки - очевидно, этим такие посты и хороши что подсвечивают их. Постепенно и тут поправят. Сделают единый запрет.
а в договоре такое не прописано случайно СРАЗУ?
по пункту 3. Раньше это работало только для МСК. Для регионов так и писали, что типо нельзя пока и все. Что-то изменилось?
П.1 работает, но не совсем так, как кажется. Я написал заявление, принёс в салон МТС, всё нормально приняли. Но вслед сказали "Вы же в курсе, что оно действует ТОЛЬКО в том салоне, где вы его оставили?". Москва, МТС, 21 г.
Увы, подключение «Запрета обслуживания по доверенности» недоступно.
habr.com/ru/news/t/691626
Тут имеет смысл прикинуться белым хакером и выручить бабла
А что тут "хакерского" то?
Чел не включил двухфакторку, его пароль попал в открытый доступ, злоумышленники решили поиметь. Собственно "хакерства" не вижу ))
Чет хакер с солонской вспомнислдя
Зря вспомнился, потому что в той истории речь об абсурдно сложных дополнительных мерах. Тогда как речь в этой ситуации о том, чтобы не допускать определенных комбинаций настроек и поведения системы. Это требование корректной, не исключающей саму себя логики взаимодействия существующих мер.
Так что, затыкание дыр в бане является оплотом информационной безопасности девок, а затыкание дыр в солонке является геморроем для всех посетителей и сотрудников столовой.
Чтобы решить проблему приватности персональных данных и подглядывания за девками в бане — нужно их обесценить до уровня соли. Разрешить бабам шляться где угодно и как угодно голышом, а персональными данными позволить пользоваться всем кому не лень на законодательном уровне прям в открытую кем угодно и как угодно. Тогда не придётся городить все эти мегатонны систем доступа к системам доступа с системами доступа, ведь у всех в профиле будет написано, что в Химках его видали.
нужно их обесценить до уровня соли
Не получится. Во всяком случае сразу. Потому что они используются, чтобы уболтать цель, которая почему-то думает, что если кто-то знает номер карты(пороть платежные сети за то, что этот номер надо охранять), паспорта, какие-то 'секретные' данные - то он из банка.
Кроме разрешения нужно будет еще старательно в СМИ долго и старательно объяснять, что вот эти данны - все, кому хоть сколько-то интересно, знает, и знание этих данных ничего не означает.
Другое дело, что просто так вот так с бухты барахты выпускать такого зверя — это жесть без необходимой законодательной базы и неотвратимой ответственности за несанкционированное использование этой информацией с помощью наживы. Пока мошенники будут анонимными и безнаказанными, то дичь с пд будет продолжаться независимо от того, текут пд или не текут. А течь они будут всегда. Все дырки не перекроешь — новые проковыряют.
Проблема с тем, что ПД используются для повышения привилегий при мошенничестве - есть, но она (пусть не в каждом случае, потому что некоторые люди слишком эмоциональны) имеет конкретное простое решение для индивидуума прямо сейчас.
А вот проблема с тем, что определенные комбинации ПД позволяют злоумышленнику совершать действия от имени индивидуума без всякого участия этого индивидуума, конкретного решения сейчас не имеет.
Недавно я получил по электронной почте уведомление о входе в мой личный кабинет Госуслуг. Удивился, поскольку не входил. Удивился еще больше вспомнив, что у меня настроена двухфакторная аутентификация, а смс с кодом в этот раз не приходило.
Попытался авторизоваться — не получилось. Мой пароль был изменен злоумышленником.
С помощью процедуры восстановления пароля вернул себе доступ к личному кабинету.
Стал разбираться. Открыл в профиле раздел «Безопасность / Действия в системе». Там увидел запись о «восстановлении пароля в результате личного обращения». После которой обнаружил записи об успешной авторизации неизвестных лиц.
Обнаружил также, что двухфакторная аутентификация была просто выключена в процессе этого «восстановления пароля в результате личного обращения». Без каких-либо уведомлений-оповещений.
Обратился в техподдержку Госуслуг. Началась долгая переписка. Техподдержка очень не хотела разбираться с проблемой и несколько раз пыталась закрыть мое обращение. Проявил настойчивость и заставил работать. В результате они нашли злоумышленника. Им оказался работник клиентской службы провинциального отделения ПФ РФ.
Потом мне звонил руководитель этого отделения и уговаривал меня написать заявление, будто бы я сам обратился к ним для восстановления пароля. Объяснял это тем, что злоумышленник — очень ценный сотрудник, и они очень хотят спустить эту историю на тормозах. Вежливо послал его по известному адресу.
Однако мои наивные надежды, что сотрудники Госуслуг инициируют служебное расследование и накажут злоумышленника быстро разбились о суровую реальность глубокого пофигизма этих самых сотрудников. Видимо, они не посчитали этот инцидент заслуживающим внимания.
Мотивацию злоумышленника предполагаю, но не уверен.
В сухом остатке имеем следующее:
Сотрудник провинциальной клиентской службы может запросто сбросить ваш пароль одновременно выключив двухфакторную аутентификацию. Потом спокойно авторизоваться в вашем ЛК и сделать все, что ему нужно. И, главное, ему потом за это ничего не будет, если он дружит со своим начальством.
Интересно, сколько стоит сегодня на рынке предоставление доступа к чужим учетным записям через ЕСИА по описанному выше алгоритму…
+1, где-нибудь в какой-нибудь Германии бюргер всяко бы не поленился сходить в полицию и подать заявление о преступлении. Нельзя это так оставлять.
PS: Вот поэтому они живут так, а мы... по другому.
Ну, у них тоже не все гладко с работой копов:
У знакомого в известном привокзальном районе кошель вытянули, там не много было, позвонил в полицию - получил ответ на понятном языке "нех.. было шастать"
https://t.me/mein_frankfurt/160294
Нам заднее стекло ночью, наверное, ради прикола какая-то пьянь на парковке разбила, больше двух лет прошло, до сих пор ждём письмо с протоколом и номером дела 🤔 уже и не дождёмся, скорее всего. Отлично работают)
https://t.me/mein_frankfurt/160300
Хотя, по нарушению DSGV, думаю, что работать подорвутся как ужаленные - все-таки, покушение на священную корову Германии.
Подавляющее большинство людей в таких случаях даже не понимают, что случилось. Просто идут в ближайший МФЦ, восстанавливают доступ, и спокойно живут дальше. И логи в разделе «Безопасность / Действия в системе» никогда не смотрят.
Усугубляет ситуацию проблема межведомственности. Фактически ЕСИА раздает большому и неопределенному кругу лиц административный доступ, позволяющий сбрасывать пароли и получать доступ к чужим учетным записям. И эти лица формально никак не связаны ни с порталом Госуслуг, ни с ЕСИА (работают в других организациях). В результате техподдержка Госуслуг считает эту проблему не своей, а проблемой смежников. И не хочет ей заниматься.
Можно попробовать обратиться напрямую к ответственным за ИБ в Госуслугах. Контакт есть по ссылке https://www.gosuslugi.ru/security.txt
В результате они нашли злоумышленника. Им оказался работник клиентской службы провинциального отделения ПФ РФ.
Подозреваемого, злоумышленником его может признать только суд. Вот эти погони полиции за угнанными автомобилями в штатах, угонщики в движении стреляют по полиции, а все рано комментатор с вертоллета их называет "suspect".
Насчет ПФ РФ, зашел туда пару лет назад с знакомым начать оформлять ему пенсию, передаем в окошко документы, через некоторое время дают бумажку и говорят - напишите свой пароль от госуслуг, таким обыденным рутинным голосом говорят. Спрашиваем - зачем? Говорят заявление от вашего имени запустить на пенсию, говорим - так ведь запустили же уже не так давно, отвечают - немного рано запустили, надо не раньше такого-то срока. Сказали - сами перезапустим с домашнего PC. Спрашиваю негромко - голосование, что-ли? Без ответа, естесственно, но на физиономии характерная ухмылка.
Поучительно. Взял на заметку.
Про звонок руководителя. Звонивший документы же не показывал, так что скорее всего звонил или сам "умник", или кто-то по его просьбе.
Попытки переговоров были несколько раз. Руководитель клиентской службы был не очень компетентен в вопросах ИБ, и передал дальнейшее общение со мной в региональное отделение ПФ. Там я общался по этому инциденту уже с двумя сотрудниками, в том числе с начальником отдела ИБ регионального отделения ПФ. И одному из них звонил сам по его рабочему (не мобильному) номеру, который пробивается. Кроме того, была переписка по эл.почте — тоже с официальных адресов.
Меня больше всего поразило, когда начальник отдела ИБ тоже пытался эту историю спустить на тормозах и замять. Объяснял это тем, что в этом населенном пункте большая проблема с квалифицированными кадрами, и «кто же там тогда работать будет».
я недавно регистрировался в ЕИС, для участия в торгах на РТС. После регистрации автоматически моя "идентификация" рассылается по куче бирж (приходит туча емэйлов от них с предложением участвовать, штук 20). И буквально через 2 дня мне звонит мошенник (полиция, ЦБ выявил, и прочее), который при разговоре на повышенных тонах сообщил мне даже мой домашний адрес.
Так что сливают всё целиком и полностью. Я написал в ЕИС, они тоже развели руками.
Что в итоге этот сотрудник сделал в ГУ, или ничего не успел ?
Кредиты в мфц не успел набрать ?
За ЕР не проголосовал ? https://www.kommersant.ru/doc/4839799
Что может сделать злоумышленник, зная мой пароль от госуслуг? Запросить смс код двухфакторной аутентификации)
А двухфакторка по СМС — это вообще аншлаг. Есть же нормальный ТОТР. Я на госуслуги раз в год пишу заявки когда уже появится такой способ верификации)
Уже появился.
Большое спасибо за эту хорошую новость! Теперь бы ещё в банках…
А как эти коды получать?
Самое простое - приложение-генератор кодов на вашем андроид Кирове ю устройстве. Если iOS - функционал встроен в "паролях"
Ну так я и спросил, что за приложение-генератор? Как госуслуги поймут, что код сгенерировал я, а не мошенник?
Этих генераторов - тысячи, некоторые - откровенное зло. При большом желании можно и "аппаратный" генератор сообразить
Сайт генерирует токен, этот токен добавляется в приложение-генератор, генератор меняет код по времени (если TOTP) или по кнопке в случае HOTP. Сайт помнит про твой токен и имеет возможность при запросе аутентификации сгенерировать код самостоятельно, а после сверить с тем что пришло от тебя. Важно правильно настроенное время как на устройстве, так и на сервере. Мошеннику же, в штатном режиме этот токен взять просто не от куда. Бонусом, код можно сгенерировать без интернета, и нет привязки к смс
Спасибо за ликбез. А под андроид можете такой генератор посоветовать?
Google Authenticator / andOTP
Aegis Authenticator неплох. В Google Play он тоже, насколько я помню, был. Ну или можно список других в этом описании посмотреть.
При большом желании можно и «аппаратный» генератор сообразить
В современный «аппаратный» генератор можно превратить самый дешёвый смартфон с затёртой прошивкой радиомодуля и установленным andOTP)
Как госуслуги поймут, что код сгенерировал я, а не мошенник?
Генерация происходит на основании 'затравки' которую знает сайт и твое устройство. Подразумевается, что у мошенника ни устройства, ни, соответственно, затравки нет.
Из этого следует, кстати, что ходить на сайт, набирать на нем логин-пароль и держать генератор с затравкой надо на разных устройствах. Причем то, что с генератором - хорошо бы чтобы было полностью оффлайновым.
Вообще... тут проблема. Если у сайта утекают логин/пароли, то с тем же успехом одновременно утечет seed для этого TOTP, после чего злодей так же успешно, как пароль, сгенерирует и ведет и код.
Пароли отдельных людей утекают на порядки чаще, чем нешифрованные пароли и seed у сайтов. Если сайт взломали и украли всё, то тут пользователь бессилен.
В контексте аутентификации это не совсем так. Насколько я понимаю, в том же WebAuthn, даже если у сайта украдут всю базу ключевой информации - то притвориться пользователем злодей не сможет. Потому что для этого нужны приватные ключи, а они только у пользователей в их устройствах есть.
На самом деле оно возможно уже давным-давно -- нужно просто требовать взаимной авторизации в https. Но вот этот способ ну оооочень не популярен.
Пользуясь случаем, там у cloudflare акция совместно с yubico. U2f токены по 10$-штука. Вопрос оплаты и доставки - это уже не ко мне
Подключилось без проблем с первого раза, если что..
Статья, мотивирующая пользователей включать двухфакторную аутентификацию должна выглядеть именно так.
Со мной сработало, включил.
Даже я, далёкий от IT человек, никогда не упускаю возможность включить двухфакторку, тем более упаси господь спецом её выключать, тем более на госуслугах. Так что ваш пост может и не жалоба, но констатация тупости вашего друга.
«оказание медЕцинских услуг».
Хотя кого это нынче удивляет…
С таким же успехом завтра на вас могут повесить любой кредит _
хотя вы не были в банке
как показывает практика когда это на до не ВАМ а БАНКУ то вам его легко дадут даже без посещения )) но когда кредит будет нужен ВАМ то вы приползете с паспортом в зубах и его не получите)
это реалии сегодняшнего отношения к людям Мы всего лишь мусор из которого выжимают деньги)
Обратите внимание на номер "счёта" в "декларации":
40914810...
Это НЕ банковский счёт физического лица!!! Счета физических лиц резидентов РФ в рублях всегда будет 40817810, счета нерезидентов РФ в рублях - 40820810...
Это "электронный кошелёк" или иной структурированный счёт (не является банковским счётом, деньги не застрахованы АСВ).
Смотрим в план счетов и видим - 40914 - "Средства для осуществления переводов (возврата остатков) электронных денежных средств физических лиц".
Таким образом, злоумышленник создал не банковский счёт, а кошелёк "МТС.Деньги". Неудивительно, что налоговая не стала на такой счёт платить.
Насколько мне известно, там требовался чётко и ясно счёт физического лица 40817810, а попросить налоговую загнать возврат на всратый электронный кошель... Это мм... круче было бы только "залей на киви".
Ну и безопасность всех этих "кошельков" куда слабее, т.к. они не подчиняются нормам, которые должны соблюдать банки для идентификации клиентов при открытии счетов.
Как в рекламе - никотин-то "электронный", а одышка самая настоящая.
В свое время я через госулуги мог действительно авторизоваться на nalog.ru, посмотреть и, возможно, даже оплатить налоги. Но вот инициировать получение вычета было невозможно. Требовалось ножками прийти в налоговую и там получить полный доступ и специальный пароль.
Не уверен, но вроде и не так давно после перекидывания с Госулуг на nalog.ru я не все возможности получил. Пришлось именно на nalog.ru их паролем авторизоваться для расширенного доступа.
Теперь что, полный доступ, даже перевыпуск сертификата, гуляй рванина?
Получал вычет в этом году. Попросили цифровую подпись (была). Что было б, если б не было - хз. Но знаю, что знакомые уже давно ногами за вычетом не ходят, они мне и сказали - госуслуги ж... :)
Да, именно так. Никакой отдельный пароль или ЭЦП не требуется если на ЕСИА полный профиль. ЕСИА первична сейчас по отношению ко всему остальному кроме квалифицированной ЭЦП физ.лица (не квази ЭЦП в налоговой, а та что по ГОСТу от удостоверяющего центра)
Максут Шадаев обещал баг баунти по госуслугам к концу года. Хотя формально это не баг, но по важности на премию должно тянуть.
Весьма оригинальная схема. И ведь владелец аккаунта может вообще ничего не заметить, если только сам захочет в этом же году получить вычет (но многие люди ими редко пользуются) и упрётся в лимит, либо к нему полиция придёт (если налоговая всё же поймёт, что документы ненастоящие). То есть высокая вероятность, что никто никогда ничего не узнает, а злоумышленники получат деньги.
потерял телефон - потерял доступы, пушто твой vendorname Authenticator не умеет в бэкапы.
развлекайтесь, параноики :)
одной глубокой ночью злоумышленник входит в Госуслуги, снимает галочки об уведомлениях о входе и действиях в личном кабинете
Но ведь одно уведомление о первичном входе непонятно откуда глубокой ночью пришло? А последующие действия, судя по скриншотам, продолжались уже днём, и не одним. Так что знакомый проявил ещё досадную невнимательность к этому звоночку...
Насколько мне известно, при подаче заявления на вычет обязательно среди документов должен быть чек, и его подделать не получится, в отличие от договоров, т.к. он должен биться по базе налоговой. Собственно, это и есть подтверждение оплаты услуги, без которого вычет не положен. Среди подаваемых документов там случайно чека или чего-то похожего не было?
Пересмотрел документы, которые помогал делать маме для вычета, и почти нигде нет чека. В 90% случаев только какая-то справка об оплате услуг с вписанной руками суммой
Не обязательно. Я уже несколько раз подавал без чеков. Достаточно справки с печатью.
Включение усиленной аутентификации было на iOS, Firefox, а написано Safari
Вход в систему был с Linux, Firefox, а написано - и какой-то EVENTS.USER_LOGIN_TYPES.UNKNOWN
И так далее.
При изменении номера телефона и сбросе пароля через онлайн банк нет никакой записи в Безопасности и не приходит на почту ничего. Это очень плохо.
Статья очень интересная, но причем тут тэг IT-эмиграция? :)
А у меня сгенерированный код не подходит. Подскажите почему так может быть?
Всем привет!
Используя портал gosuslugi.ru в отношении меня было совершено мошенничество используя сервис ООО МКК "Деньгимигом".
Никаких уведомлений в почту, СМС или уведомлений в ЛК вообще не было. Т.е. получается какое то пособничество мошенникам со стороны государственного портала происходит. Они просто забыли подумать про ИБ, я считаю за это необходимо вводить уголовную ответственность.
Ситуация прояснилась.
Мошенники смогли подменить мой номер телефона в протоколе обмена ЕСИА и таким образом подтвердили по поступившей СМС получение денежных средств. Все банально и просто. Протокол ЕСИА одна сплошная дыра.
Получается так, если бы протокол обмена ЕСИА имел меньше уязвим остей, то мой лого/пасс был бы бесполезен для мошенников.
Что может сделать злоумышленник зная пароль от Госуслуг