Исходники Госуслуг попали в открытый досm

[Boristhecat]

На хакерском сайте cybersec.org появилась статья, в которой рассказывается об утечке с Госуслуг. Там же приводится ссылка для скачивания исходного кода этого сервиса.

Госуслуги — государственный интернет-ресурс, которые предоставляет гражданам доступ к услугам различных ведомств. Он также содержит личные данные всех пользователей.

Проблема заключалась в том, что разработчики Госуслуг забыли закрыть гостевой доступ к каталогам.git, из-за чего любой желающий мог выкачать исходники сайта (что и сделал админ cybersec.org). Он сообщил об этом «команде кибербезопасности Госуслуг», поэтому она, вероятно, предприняла какие-то действия по защите сайта. Помимо исходников, в утечке содержатся сертификаты ЕСИА, которые в теории можно использовать для взлома аккаунтов.

Выяснилось, что Госуслуги построены на движке «Битрикс», а система авторизации ЕСИА на OpenID. Эта утечка не содержит личных данных пользователей Госуслуг, но представляет интерес как для ИБ-специалистов, так и для хакеров. Изучение исходного кода поможет найти уязвимости и закрыть их или эксплуатировать.

Некоторые ИБ-специалисты уже изучили утечку и утверждают, что ничего опасного в ней нет:

Слили исходный код одного из региональных сайтов госуслуг — Пензенской области, федеральные госуслуги и mos.ru там вообще не при чём. Какого-то суперущерба безопасности тоже нет, т. к. по факту, эти региональные сайты = тонкие клиенты основной ЕСИА-системы госуслуг.
источник

Интересно, приведет ли это к тому, что широкоизвестные "специалисты Сбербанка" будут со временем наивных пользователей донимать, напрямую через госуслуги, с классическими просьбами "обезопасить счет" + новинками вроде "оплатить штраф/налог и т.д."?

[1714780149]

1714780149

[1714780149]

1714780149

[1714780149]

1714780149

[1714780149]

1714780149

[1714780149]

1714780149

[Woodman]

Думаешь так легко будет получить исходный код, проанализировать и написать фичу которая будет воровать данные в режиме реального времени? Нереально и геморно все это для "специалистов Сбербанка", у них мобилка и гора симок рабочий инструмент и прогеров среди них нету.

[Boristhecat]

Думаешь так легко будет получить исходный код, проанализировать и написать фичу которая будет воровать данные в режиме реального времени? Нереально и геморно все это для "специалистов Сбербанка", у них мобилка и гора симок рабочий инструмент и прогеров среди них нету.

Вы живете в информационном вакууме, или думаете, что я под "специалистами Сбербанка" подразумевал рядовых зеков?

Мошенники похитили у россиян более 3 млрд рублей за год через имитацию страниц оплаты

Схемы с подложными платежными системами сложны в реализации и их сложно выявить для большинства классических решений, направленных на борьбу с мошенничеством, поскольку мошеннические интернет-ресурсы часто содержат логотипы платежных систем и не вызывают подозрений у пользователей, говорится в докладе. Для банка платеж выглядит как легальный, и обманутому клиенту будет сложно вернуть отправленные мошенникам деньги.
источник

3 миллиарда в год, сумма впечатляет, тут и зек станет кодером, да и на зарплаты, уже имеющих топовое портфолио, IT-шников хватит.

Аккаунты «Госуслуг» начали массово взламывать. Зачем? И как защититься?

В сети увеличилось количество жалоб на взломы и попытки взлома аккаунтов «Госуслуг», а в даркнете замечены лоты с учетными записями. Об этом рассказали в 1prime со ссылкой на экспертов по кибербезопасности.

Генеральный директор DeviceLock объяснил, кому и зачем это нужно. По его словам, аккаунты россиян нужны мошенникам, которые пользуются ими для оформления займов в интернете, а также регистрируются в букмекерских конторах. Поскольку аккаунт «Госуслуг» позволяет проводить доверенную авторизацию, то долги потом целиком ложатся на владельца учетной записи — причём официально.
источник

На кону миллиарды так что, хакеры заполучившие исходники, будут трудиться всерьез чтобы найти уязвимости и воспользоваться ими.
Пребывать в наивной уверенности, что "государство отвечает за данные, всё надежно" не стоит - как видно из новостей это абсолютно не так, так что стоит побеспокоится о своей безопасности самостоятельно.

[Woodman]

"Схемы с подложными платежными системами сложны в реализации" видел, очень правдоподобно и уверен что большинство домохозяек сливают данные свих карт мошенникам. Но не сложны они в реализации как мне кажется, просто собирают данные карт и все.

"В сети увеличилось количество жалоб на взломы и попытки взлома аккаунтов «Госуслуг»" а вот это да, напрягает, от государства надежности не жду конечно же.

[jokers10]

...
3 миллиарда в год, сумма впечатляет, тут и зек станет кодером, да и на зарплаты, уже имеющих топовое портфолио, IT-шников хватит.
...

3 миллиарда за год на такую большую страну, как раз, небольшая сумма, это же в рублях, а в долларах США уже будет меньше 50 миллионов. Так что для серьёзных взломщиков есть направления гораздо интереснее. Но, в целом, с ростом числа возможностей, доступных через аккаунт типа госуслуг, число пытающихся использовать их мошенников всё равно будет расти. Даже если говорить о мошенничестве на доверии, многие люди мало понимают, какие проблемы потенциально возможны у них, если кто-то получит доступ от их аккаунтов, а мошенники уже сейчас используют эти данные для оформления левых кредитов, например. И даже когда введут обязательную двухфакторную авторизацию, мошенничество на доверии обходит любые технические сложности, потому что все данные дают сами жертвы, и важно доносить до людей опасность предоставления подобных данных хоть кому-либо.

[Boristhecat]

Интересно, приведет ли это к тому, что широкоизвестные "специалисты Сбербанка" будут со временем наивных пользователей донимать, напрямую через госуслуги, с классическими просьбами "обезопасить счет" + новинками вроде "оплатить штраф/налог и т.д."?

Уже привело:

Мошенники активируют QR-коды

Телефонные мошенники воспользовались актуальной темой QR-кодов. Представляясь по телефону сотрудниками портала «Госуслуги», они предлагают привязать QR-код к странице пользователя и получают доступ к личному кабинету граждан. Затем злоумышленники могут, например, использовать полученные на портале данные жертвы для оформления кредитов, предупреждают эксперты.

Телефонные мошенники стали звонить жертвам от имени сотрудников портала «Госуслуги», предупреждают в компаниях по кибербезопасности. Они просят граждан продиктовать код из СМС-сообщения якобы для активации или привязки QR-кода к странице пользователя, рассказал руководитель аналитического центра Zecurion Владимир Ульянов.
источник

Сегодня получил от госуслуг, вот такое письмо:



Что косвенно подтверждает наличие проблемы.

[witcher_sense]

Сегодня получил от госуслуг, вот такое письмо:



Что косвенно подтверждает наличие проблемы.

Интересные варианты защиты аккаунта они предлагают, неудивительно что кому-то постоянно удается взламывать аккаунты и уводить исходные коды из под носа у горе программистов. Защита контрольным вопросом устарела еще сотню лет назад примерно. Имя вашего домашнего питомца или любимого артиста можно узнать за пять минут из соцсетей или методами социальной инженерии. Второй метод: двухфакторная аутентификация через SMS ничем не лучше, так как всегда есть вероятность, что вашу сим-карту клонировали через подкупленных сотрудников мобильного провайдера. А уж сообщить "код из смс" рандомному сотруднику Госуслуг: это уже в порядке вещей, схема проверненная и работает.

Если это все что они могут предложить для защиты, то у меня для вас плохая новость: аккаунт не защищен вообще и взлом это только вопрос времени.

[Cryptmuster]

Интересные варианты защиты аккаунта они предлагают, неудивительно что кому-то постоянно удается взламывать аккаунты и уводить исходные коды из под носа у горе программистов. Защита контрольным вопросом устарела еще сотню лет назад примерно. Имя вашего домашнего питомца или любимого артиста можно узнать за пять минут из соцсетей или методами социальной инженерии. Второй метод: двухфакторная аутентификация через SMS ничем не лучше, так как всегда есть вероятность, что вашу сим-карту клонировали через подкупленных сотрудников мобильного провайдера. А уж сообщить "код из смс" рандомному сотруднику Госуслуг: это уже в порядке вещей, схема проверненная и работает.

Если это все что они могут предложить для защиты, то у меня для вас плохая новость: аккаунт не защищен вообще и взлом это только вопрос времени.

А что вы от госструктур хотите, у них не предусмотрено бюджетом защищать аккаунты как то по надёжнее, да и айтиншик, или программист сидит на минимальной зарплате и ждет когда его смена закончится. А то что код из смс человек мошеннику сообщил, так это уже его ошибка. А клонирование симки, это тема стремная, у нас участились случаи, когда клонируют симку и с помощью приложения дия набирают кредитов во все возможных кредитных компаниях.

[jokers10]

...
Если это все что они могут предложить для защиты, то у меня для вас плохая новость: аккаунт не защищен вообще и взлом это только вопрос времени.

По большому счёту, никакие варианты защиты не могут ничего гарантировать, когда речь идёт о таких массовых проектах, потому что они привлекают внимание и провоцируют на поиск способов взлома множество мошенников. И даже если бы третьей степенью защиты была бы криптографическая проверка через блокчейн, скажем, мошенников на доверии это никак не остановит: как выведают смс-код, так выведают и приватник. Так что не существует идеальной защиты ИМХО.

[Boristhecat]

Если это все что они могут предложить для защиты, то у меня для вас плохая новость: аккаунт не защищен вообще и взлом это только вопрос времени.

По большому счёту, никакие варианты защиты не могут ничего гарантировать, когда речь идёт о таких массовых проектах,-skip- Так что не существует идеальной защиты ИМХО.

Согласен с вами, изначально когда я изучал эти новости я даже пожалел, что зарегистрирован на госуслугах, так как тут на уровне архитектуры системы нельзя защитить себя на 100 процентов.

Очевидно, что там не хватает опции "запретить верификацию с помощью госуслуг на любых сторонних сервисах". Это отсекло бы множество проблем. Злоумышленникам не было бы смысла ломать госуслуги, если максимум того, что они могли бы получить оттуда, это информацию о пользователе. Аналог опции для сотовых операторов, когда на основной счет вешается запрет на оплату чего-либо, и создается специальный отдельный счет откуда производятся все оплаты.
Надеюсь, реакцией на возникшие проблемы будет введение такой опции.

[jokers10]

Согласен с вами, изначально когда я изучал эти новости я даже пожалел, что зарегистрирован на госуслугах, так как тут на уровне архитектуры системы нельзя защитить себя на 100 процентов.

Очевидно, что там не хватает опции "запретить верификацию с помощью госуслуг на любых сторонних сервисах". Это отсекло бы множество проблем. Злоумышленникам не было бы смысла ломать госуслуги, если максимум того, что они могли бы получить оттуда, это информацию о пользователе. Аналог опции для сотовых операторов, когда на основной счет вешается запрет на оплату чего-либо, и создается специальный отдельный счет откуда производятся все оплаты.
Надеюсь, реакцией на возникшие проблемы будет введение такой опции.

Теоретически такая опция может снизить число проблем с получившими доступ к аккаунтам злоумышленниками, но не радикально, потому что и так большинство случаев подобных взломов пока ещё не столько программные, сколько именно на доверии, так что по просьбе мошенника даже при необходимости личной явки всё разрешат и откроют любые доступы, как сейчас ходят по банкам, снимают деньги с депозитов и отправляют на счета мошенников. А если галочку можно будет поставить в самом аккаунте, то вообще ничего не изменится.

[witcher_sense]

Согласен с вами, изначально когда я изучал эти новости я даже пожалел, что зарегистрирован на госуслугах, так как тут на уровне архитектуры системы нельзя защитить себя на 100 процентов.

Очевидно, что там не хватает опции "запретить верификацию с помощью госуслуг на любых сторонних сервисах". Это отсекло бы множество проблем. Злоумышленникам не было бы смысла ломать госуслуги, если максимум того, что они могли бы получить оттуда, это информацию о пользователе. Аналог опции для сотовых операторов, когда на основной счет вешается запрет на оплату чего-либо, и создается специальный отдельный счет откуда производятся все оплаты.
Надеюсь, реакцией на возникшие проблемы будет введение такой опции.

Есть опция удаления аккаунта насовсем, в этой статье рассказывают как это сделать:

https://sevdz.ru/mednavigator/gu-moe-zdorove/kak-udalit-uchetnuyu-zapis/

Там говорится,.что данные восстановить невозможно, но вот я искренне сомневаюсь что вся ваша подноготная не сохраняется у них на сервере, куда может получить доступ заинтересованное лицо. Еще интересен тот факт, что сотрудники МФЦ могут помочь восстановить вам доступ к аккаунту в случае утери пароля или смены телефона, при условии подтверждения личности, разумеется. Интересно здесь то, что эти сотрудники тогда могут получить доступ к вашему аккаунту и без вашего ведома, зарегистрироваться где надо, оформить кредиты и никто никогда не узнает кто и как заходил на аккаунт. Идеальное преступление получается, или я чего-то не понимаю. Эта система полна дыр, хорошо они криптовалютные кошельки не проектируют. Пока что.

[kate555]

Согласен с вами, изначально когда я изучал эти новости я даже пожалел, что зарегистрирован на госуслугах, так как тут на уровне архитектуры системы нельзя защитить себя на 100 процентов.

Очевидно, что там не хватает опции "запретить верификацию с помощью госуслуг на любых сторонних сервисах". Это отсекло бы множество проблем. Злоумышленникам не было бы смысла ломать госуслуги, если максимум того, что они могли бы получить оттуда, это информацию о пользователе. Аналог опции для сотовых операторов, когда на основной счет вешается запрет на оплату чего-либо, и создается специальный отдельный счет откуда производятся все оплаты.
Надеюсь, реакцией на возникшие проблемы будет введение такой опции.

Теоретически такая опция может снизить число проблем с получившими доступ к аккаунтам злоумышленниками, но не радикально, потому что и так большинство случаев подобных взломов пока ещё не столько программные, сколько именно на доверии, так что по просьбе мошенника даже при необходимости личной явки всё разрешат и откроют любые доступы, как сейчас ходят по банкам, снимают деньги с депозитов и отправляют на счета мошенников. А если галочку можно будет поставить в самом аккаунте, то вообще ничего не изменится.

Верно говорите, вспоминаются нашумевшие истории с электронной подписью, по итогу создает больше проблем чем пользы, по разъяснениям ФНС, создается впечатление, что при должном подходе у мошенников, вас в любой момент могут лишить имущества и средств к существованию, кто то подделает вашу электронную подпись, в банке кто-то уведет ваш вклад. И государство никогда ни за что не отвечает, и не виноватое, но исправно берет пошлины и налоги  .
У меня лично был случай когда я получала свидетельство, сотрудник допустил ошибку, на что было сказано, оплатить снова Сами понимаете, из за тысячи рублей судиться, больше потерять  .

[jokers10]

...
создается впечатление, что при должном подходе у мошенников, вас в любой момент могут лишить имущества и средств к существованию, кто то подделает вашу электронную подпись, в банке кто-то уведет ваш вклад.
...

Фактически это так. С тех пор, как определённые финансовые услуги стали широко доступны дистанционно, такое явление как кража личности стало достаточно массовым. Масштабы последствий не обязательно настолько большие, но в том или ином виде в тех же США, по некоторым оценкам, в 2020 году около половины граждан в той или иной форме столкнулись с кражей личности, а в 2020 и 2021 году, в каждом из них, ущерб от таких действий превысил 700 миллиардов долларов (и это только в США). Это, кстати, также и к вопросу о том, почему не стоит проходить кусь на каждой интернет-помойке: если данных для идентификации достаточно для чего-то одного финансового, то их может оказаться достаточно и для чего-то другого финансового. К сожалению, защититься может быть непросто, особенно если данные будут слиты из централизованных государственных баз.

[Cryptmuster]

Верно говорите, вспоминаются нашумевшие истории с электронной подписью, по итогу создает больше проблем чем пользы, по разъяснениям ФНС, создается впечатление, что при должном подходе у мошенников, вас в любой момент могут лишить имущества и средств к существованию, кто то подделает вашу электронную подпись, в банке кто-то уведет ваш вклад. И государство никогда ни за что не отвечает, и не виноватое, но исправно берет пошлины и налоги  .
У меня лично был случай когда я получала свидетельство, сотрудник допустил ошибку, на что было сказано, оплатить снова Сами понимаете, из за тысячи рублей судиться, больше потерять  .

При создании электронной подписи так и предупреждение выдается, что бы файл хранить хорошо, потому что если мошенники получат доступ к ней, то смогут сделать что угодно и кредитов набрать и все со счетов/карт повыводить. И я больше чем уверен, что файлы от эцп хранят на капах и ноутах сохраненными в каких то папках, которые так же называют. Как минимум их нужно хранить на флешке, но об этом банк не говорит, мол сами думайте о безопасности.