В открытый доступ выложены данные из базы портала Госуслуги

[DvoiNic]

«никогда такого не было, и вот опять»©ЧВС

[PaulIsh]

И куда идти себя искать?

[ZeroBot-Dot]

На КДПВ есть адрес тг канала, в нем можно найти бота для проверки.

[Squoworode]

А где КДПВ?

[ZeroBot-Dot]

Она в ленте новостей отображается, а в самой новости ее нет. Спасибо Хабру за это.

[slonopotamus]

Да где? https://imgur.com/a/JwUQ7nZ

[ZeroBot-Dot]

Вот здесь: https://habr.com/ru/news/

[withkittens]

Добавьте картинку в саму статью что ли.

[ZeroBot-Dot]

Добавил. Главное, чтобы теперь не обвинили в рекламе.

[BoberMod]

Искать слитого себя в телеграм боте группы людей, которая занимается поиском слитых данных - гениально.

@PaulIshканал в известном мессенджере - dumpforums

Их комментарий (почему 5к строк) можно найти в каналах участников, но ссылки давать не буду. Кому надо, тот найдет.

[Kazikin]

Никогда такого не было и вот опять.

[ZlobniyShurik]

По идее, я бы должен возмутиться, прочтя эту новость. Но хватает только на "Шо, опять?!" (и картинка с волком в лесу).

P.S. Только за последний год лично я был потенциальной жертвой, как минимум, пары-тройки сливов у достаточно крупных контор. А сколько чего про меня реально утекло в последние годы - и задумываться боюсь.
В общем, смех сквозь слёзы :)

[Quei]

Главное чтобы биометрия не утекла. Иначе это будет полное фиаско.

[Alonerover]

Если буржуинство продавит закон разрешающий сбор биометрии без согласия жертв пользователей, то сбор и последующая утечка БД являются только вопросом времени.

Пара статей на Хабре прямо указывает вектор развития ситуации:

IgnatChuker - Госдума одобрила поправки о передаче биометрии без согласия субъекта персональных данных, 06.07.2022

denis-19 - Минцифры предложило использовать Единую биометрическую систему (ЕБС) при дистанционной сдаче экзаменов, 26.08.2022

Пока сбор идёт тихо и ненавязчиво, не особо драконя граждан. Но учитывая всё увеличивающийся накал социума буржуинство ради реализации своей монополии на насилие дальше будет вынуждено сделать сдачу биометрии обязательной.

[DvoiNic]

«биометрическую» можно вставить как «Би»

[Popadanec]

Если, За ЕБС, звучит как тост, то ваш вариант звучит как блокировка аккаунта за мат.

[Solbrain]

Да вы зануда, сэр

[PaulIsh]

Вот что пишет минцифры https://t.me/mintsifry

Опровергаем информацию об утечке данных с Госуслуг. В сети появился фрагмент якобы базы данных пользователей Госуслуг, содержащий 5 тыс. записей. Мы проверили этот файл и выяснили, что в нем нет того набора параметров, которые обязательно присутствуют в стандартных учетных записях Госуслуг. Учетные данные пользователей портала (логины и пароли) не были скомпрометированы, информация надежно защищена.

По данным службы безопасности, эта база относится к одной из внешних онлайн-систем, использующих упрощенную идентификацию пользователей через Госуслуги. Эта система не имеет прямого доступа к полному набору данных пользователей.

[Quei]

Получается что данные всё таки из базы госуслуг, и проверка кампании допустившей утечку этих ПД была проведена в недостаточной мере. Вообще минцифры сами виноваты. Их полумеры по защите IT фактически лишь показуха. Многие IT компании писали что чтобы удержать специалистов нужны гарантии. Сейчас специалисты по безопасности покидают страну, и это заслуга только минцифры. Что может быть дальше страшно представить.

[grumbler66rus]

"Сейчас специалисты по безопасности покидают страну, и это заслуга" сами знаете кого. Минцифры, насколько я вижу, пытается хоть как-то купировать ситуацию, вплоть до личного участия министра в решении каждого случая - похоже, что у них нет реальных возможностей что-то делать.

[Ronchik]

Если я правильно прочитал, то до полного набора параметров не хватает только логина и пароля. Вот только и без этих недостающих данных в файле хватает информации, которой могут воспользоваться злоумышленники. Интересно, дело заведут, оборотный штраф назначат? (Вопрос риторический)

[klounader]

Мякотка в том, что для осуществления мошеннических действий в отношении слитого лица, логин и пароль уже как-то не особо то и нужен. Всё подали на блюдечке, просто без золотой каёмочки.

[DrZlodberg]

Тут ещё проблема в том, что, по давней традиции, каждый такой ресурс хочет знать чем больше — тем лучше. Попробовал как-то использовать логин через гу на паре сайтов — так мне там каждый выкатил весьма приличный список того, что они хотят получить при этом из гу (или валить нафиг). Чтобы просто передать показания счётчиков воды мне надо или разрешать получить всё, вплоть до клички собаки, либо носить их на бумажках. Удобно…

[artemerschow]

5 тысяч строк для слива с госуслуг как-то слабо звучит, если честно.

[Quei]

Вполне возможно что 5 тысяч выложено для затравки потенциальных покупателей. А база целиком может уже продаваться на закрытых ресурсах. Или, например, может начать продаваться позже, когда шум утихнет.

[artemerschow]

Додумать и предположить можно что угодно. Но имеем что имеем. Насколько помню, уже были случаи, когда продавали большую базу и прикладывали сэмпл, обозначая, что это именно образец.

[DarkWolf13]

а если купить эту базу, для проверки наличия своих данных, меня посадят за нарушение 152ФЗ закона или сразу расстреляют?

[Survtur]

И то, и то.

[MARDEN]

Сначала расстреляют, потом посадят

[DvoiNic]

дадут «семь лет расстрела. через повешенье»©

[Xambey97]

Хм, если не ошибаюсь ЕСИА для внешних систем не предоставляет доступа к полному набору данных пользователя, даже ведомствам для этого нужны особые права, чтобы по СМЭВ можно было получить то что им нужно, сервисов которые интегрируются с ЕСИА не то чтобы много, да и с безопасностью там все довольно серьезно, когда работал в гос-ке много гемороя было с получением доступов. А дальше утиная типизация клюквы, но полностью не уверен.

К слову на счет биометрии, тут некоторые опасаются возможной утечки, ЕСИА не хранит биометрию, этим ЕБС занимается, там с безопасностью еще все более серьезно, в плоть до кастомных алгоритмов шифрования для доступа. Знаю людей кто ее делал и занимался поддержкой, там все достаточно неплохо было с безопаностью по крайней мере на 20й год

Надеюсь, что я не ошибся. Поправьте меня, если что-то уже не актуально. Будем надеяться, что ничего серьезного не случилось

[AxaRu]

Ага. Верю. Я тоже видел человека, который видел бутылку из под водки за 2р. 87 коп.

[grumbler66rus]

Ну я видел такую водку. Давно :-D

[apro]

все более серьезно, в плоть до кастомных алгоритмов шифрования

Это же наоборот обычно минус, так как подразумевает что алгоритм и доказательство его корректности не прошли публичной проверки и рецензирования?

[Moskus]

да и с безопасностью там все довольно серьезно, когда работал в гос-ке много гемороя было с получением доступов.

Можете в контексте этого утверждения предложить разумное объяснение тому, почему код страницы настроек аутентификации, вызывающий вот это (см. ниже) оказался на "боевом" сервере, как работающий? Что еще у разработчиков, которые должны были хоть раз проверить, работает ли включение аутентификации по TOTP, должно быть отключено в CORS policy, чтобы это работало?

Это в консоли Firefox при входе на https://lk.gosuslugi.ru/settings/safety/login

А это - непосредственно после нажатия кнопки "Включить" на вкладке включения 2FA.

[Xambey97]

Не очень понимаю, что вам тут не нравится. CORS? Кто-то накосячил с настройкой веб сервиса, бывает, и очень часто это вопрос не к разрабам, а к девопсам и поддержке кто это контролировать должен, хосты продовые. Gu-st это удостоверяющий центр если я правильно помню. То что кидает 400 реквест, ну так бывает, если какие-то системы сейчас отключены или на тех. работах, с учетом кол-ва интегрированных ИС это не удивительно, у нас страна все часовые пояса охватывает, сложно проводить работы, когда это никому мешать не будет, для гос. сервисов это мягко говоря не редкость. Недавно кстати все подобное ловили с ф-ционалом отключения гос. почты, подозреваю там сервис обращался к очень большому кол-ву других гос. сервисов с запросом на отключения интеграции почты и какой-то из них лежал в это время, или прилег как раз от наплыва, бывает. Там по шине данных между гос. сервисами гуляют SOAP запросы весом порой под пол гб, миллионы запросов, на некоторых сервисах в секунду. Если учесть как их сейчас еще дудосят отовсюду, то наша гос. инфраструктура еще неплохо справляется хочу вам сказать, очень оперативно проблемы решают. Счет гос. сервисов там идет на 10ки тысяч. Вы даже не представляете, сколько малых субъектов имеет собственные ИС, которые интегрируются с основными сервисами, сколько у них там шин обмена данными, это очень высоко-нагруженная и распределенная сеть

[Moskus]

Чтобы при тестировании функционала, который вызывает эти ошибки, он сработал без ошибок, куча настроек безопасности browser-а должны быть отключены.

Так что варианта - два: либо они отключены (добавлены исключения и т.п.), либо это никто не тестировал. Оба варианта не вяжутся с "всё хорошо с безопасностью".

А вы какой-то философии написали, которая к делу не относится.

[grumbler66rus]

"плоть до кастомных алгоритмов шифрования для доступа", которые не проходили широкий аудит и вероятность незамеченного бага там выше, чем у повсеместно используемых.

[Adaell]

Не было такого. И вот опять никогда!?

[klounader]

То ли ещё будет…

[PaulIsh]

Как мне кажется, нужно брать штрафы в пользу людей, которые доверили свои перс. данные сервису, гарантирующему их безопасное хранение. Сейчас у нас законодательство вроде обозначило какие-то штрафы, но они идут в пользу государства, что не совсем правильно, так как пострадавшая сторона не государство, а человек.

При этом нужно обозначить стоимость каждого пункта по важности. Например за СНИЛС брать 10 тыс. руб, а за адрес уже в 10 раз больше.