Идентификация личности на gosuslugi.ru

    «Система безопасна настолько, насколько безопасно её самое слабое звено».

    После прочтения нескольких топиков о портале gosuslugi.ru, я решил испытать на себе некоторые предлагаемые сервисы. В частности, меня интересовала информация о штрафах ГИБДД (я много езжу по различным регионам и могу забывать о некоторых штрафах). А также было бы неплохо изучить информацию о своих пенсионных «накоплениях».

    Итак, обо всем по-порядку.
    Регистрация на портале включает в себя четыре действия:

    1) Заполнение регистрационной анкеты (обратите внимание, паспортные данные не указываются)
    2) Проверка корректности введенного e-mail адреса
    3) Проверка корректности введенного номера мобильного телефона (приходит смс)
    4) Онлайн-проверка достоверности введенных номеров СНИЛС и ИНН (видимо, проверяют по какой-то базе из налоговой)
    5) Получение по почте заказного письма с кодом активации учетной записи Портала государственных услуг

    Первые четыре пункта выполняются достаточно быстро и зачастую без особых проблем. Хотел бы остановиться лишь на пятом пункте, ответственность за который несет наша доблестная Почта России.

    Примерно через неделю после заполнения анкеты на сайте и всех возможных подтверждений я начал проверять свой почтовый ящик на предмет квитанции из почтового отделения. Живу я в Екатеринбурге, в одном из отдаленных районов города. Пару раз в это отделение мне приходили посылки, которые я получал не всегда без проблем. Особенно грустной была ситуация, когда посылка с ebay пришла за две недели и пылилась в почтовом отделении еще две из за того, что до меня не доходили квитанции, а отечественный мониторинг лежал наглухо.
    Так вот, примерно на восьмой или девятый ожидания письма с «кодом активации» от портала gosuslugi.ru, я заглянул в почтовый ящик и обнаружил… правильно, письмо с кодом активации.
    За тот год, который я снимаю эту квартиру, я был на почте всего пару раз, то есть ни о каком личном знакомстве речи идти не может.

    Итог

    Таким образом получается, что очередной государственный великан оказался владельцем соломенных ножек. И мало что может помешать злоумышленнику, завладевшему некоторыми вашими данными, получить доступ к интересным фактам вашей жизни (привет, паранойя!). Не забывайте, в дальнейшем функционал портала обещают еще расширять.

    Similar posts

    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 34

      +1
      Намекаете, что можно даже без паспортных данных зарегистрироваться под именем необходимого человека и, получив код активации, отслеживать всю его жизнь? Крутяк =)
        0
        Данные, необходимые для регистрации:

        1) ФИО
        2) ИНН
        3) СНИЛС (страховой номер индивидуального лицевого счета застрахованного лица, выданный Пенсионным фондом Российской Федерации)

        ну и немного смеси тунеядства и раздолбайства в почтовом отделении.
          0
          Пожалуй авторизация пройдёт успешно при желании=) В качестве защиты своих персональных данных предлагаю немедленно зарегистрироваться всем! Тогда никто другой больше не воспользуется вопиющей дырой в безопасности =)
            0
            с реализацией проекта с едиными картами надеюсь все проще и надежнее будет с такими сервисами )
            0
          • UFO just landed and posted this here
              –5
              Не какое оно не свежее… Все моим знакомым письмо тоже приходило в почтовый ящик домой, да и мне тоже…
              • UFO just landed and posted this here
                  +1
                  к сожалению, искать по тегу «хакер» я почему-то не догадался
                  +1
                  мне на почте по извещению и паспорту выдавали, как положено.
                  из заказных писем в ящик кладут только уведомления из пенсионного фонда :(
                +4
                Просто кинули в почтовый ящик? Без всякого получения письма в почтовом отделении и проверки паспорта?

                Почта России испортит любые инновации и модернизацию.
                Надо начинать модернизацию с дорог и почты.
                  0
                  И мне так же кинули вроде
                    0
                    Странно. У меня требовали паспорт на почте, а в ящик свалилось только извещение.
                      0
                      И мне кинули
                      И двум знакомым моим кинули
                    +1
                    можете почитать в туже тему, только веселее
                    habrahabr.ru/blogs/infosecurity/97266/

                    Мне тоже в почтовый ящик кинули.
                      0
                      да — все так и есть ) хотя мне даже не пришлось ходить на почту )
                      отсюда мораль — зарегистрируйся сам, пока кто-то не сделал этого за тебя.
                      0
                      Странно. Я как положено получил уведомление в почтовый ящик (примерно через неделю после заполнения формы на сайте. г. Брянск).

                      А на письме Вы никаких отметок не видели о том, что оно заказное с уведомлением?
                        0
                        Никаких отметок. Только логотип «Ростелекома» и мой адрес с ФИО.
                          0
                          Хм. Нашел свой конверт. Да, действительно, отметок о том, что это письмо заказное нет. Но нашел любопытную приклееную бумажку, где от руки было написано, что «Адресата нет дома 07/08, уведомление положено в почтовый ящик» (написано короче, но смысл такой).

                          Видимо в Вашем случае почтальон выбрал более простой путь.

                          Присоединяюсь к тем, кто говорит что надо дать обратную связь по этому случаю.
                        0
                        Хм, а создание аккаунтов двойников они допускают? А если человек обнаружил, что на него уже создан аккаунт, какие руководства к действию?
                        +5
                        У меня, что мне, что моим родителям по другому адресу выслали сначала заказное письмо, в ящик пришло извещение, потом с паспортом мы ходили на свои почтовые отделения.

                        Напишите письмо в ГосУслуги, с указанием, где такая хрень происходит. Я думаю, они отреагируют быстро на сию халатность.
                          +5
                          У них на сайте прямо так и написано, что в случае обнаружения конверта в почтовом ящике сделайте фидбек нам, мы типо разберемся. Мне тоже упало в ящик письмо, я отправил жалобу об этом.
                          +1
                          Если честно, страна давно уже удивляет. А услуги этой страны всегда оставляли желать лучшего. Исходя из этого, можно было бы не удивлять даже если бы в качестве идентификационных данных потребовались: логин, пароль и ФИО. Без лишних заморочек.
                            +2
                            госуслуги — это еще что, мне кредитку в почтовый ящик положили.
                              +1
                              ну мне тоже обычным письмом высылали.
                              они обычно не активированные и без пин-кода высылаются, так что если кто-то украдет — ничего страшного не случится, только время потеряете на перевыпуск и повторную отправку.
                              0
                              это не дыра, т.к. проявляется стохастически. У злоумышленника нет никакой гарантии, что после того, как он добыл таки СНИЛС и ИНН человека, его на почте не попросят предъявить паспорт. Меня попросили, в ящике было извещение, а не письмо.
                              Но неприятна такая халатность почтальонов, да.
                                +1
                                Все претензии в данном случае к почте. Если Вы не хотите, чтобы Ваши заказные письма мог получать кто-то другой, при выявлении факта бросания таковых в почтовый ящик сообщайте на адрес client@russianpost.ru
                                Мне однажды так бросили, а добрая соседка забрала и забыла, хорошо хоть потом случайно письмо нашлось. Почтовые работники видимо получили по полной программе. После этого я случайно дату выдачи паспорта указал не 28.04 а 27.04 — они заметили.
                                  0
                                  Хм… Я не знаю, может и дыра в полиси, но я живу в Канаде и мы тут все получаем по почте, включая паспорт, ИНН, кредитные карты, чеки и вообще все. Тут все построено на почте. Причем в многоквартирных домах это ящики типа советских, то в частных домах (в которых и живет большинство семей и как раз у кого есть деньги) это просто ящик безо всякого замка, типа такого:


                                  А в штатах всю информацию по поводу ИНН, адресов, телефонов и прочей фигни можно узнать за двадцатку прямо в и-нете — на сайте таких орлов, как то парень, видео которого на хабре выкладывали неделю-другую назад.

                                  По поводу преступности — в штатах с ней все в порядке, но, наверное, проверять тысячи ящиков — вдруг там чей-то паспорт, накладно.
                                    0
                                    В письме с кодом активации нет номера вашего СНИЛС и вашего пароля, который требуется для входа на сайт. Поэтому для получения доступа к вашим данным злоумышленнику недостаточно завладеть письмом.

                                    Безусловно, для большей безопасности с учётом работы Почты необходимо по электронной почте и SMS отправлять уведомление, что аккаунт активирован.
                                      0
                                      В этом то и дело. если есть возможность получить письмо, не удостоверяя личность, то достаточно узнать чей-то ФИО, СНИЛС и ИНН (например у соседа по офису или через некую базу данных) для получения доступа к информации )
                                        0
                                        Gosuslugi всё-таки рассчитывают на то, что заказные письма почта выдаст только по предъявлению удостоверения личности, и что персональные данные работника на предприятии защищены. Это нормально.

                                        А граждане должны требовать от почты работать нормально и при получении заказного письма в почтовый ящик обязательно написать жалобу. Также и от работодателя требовать правильно обращаться с персональными данными.
                                      0
                                      3) Проверка корректности введенного номера мобильного телефона (приходит смс)

                                      Если бы оно ещё приходило…
                                        0
                                        Попытался зарегистрироваться с адресом доставки из-за заграницы
                                        Заткнулся пока на проверке телефона, подтверждение (шаг 2) проверяет телефон не только на стороне клиента, но и сервера, так что немецкий мобильник не проканал, вписал старый российский, потом брат проверит вышлет код подтверждения.

                                        Есть шанс что письмо отправят в германию, будет забавно если получится xD

                                        Only users with full accounts can post comments. Log in, please.