Комментарии 27
Вход по SMS это не 2FA. Ну и система закрывает созданную заявку с текстом вида «у нас большая загрузка», с ботом раньше можно еще было пообщаться - сейчас нет. Но зато никто вашего отца не подставит слишком просто, нужно будет двухэтапную проверку пройти.
Я согласен с таким раскладом, думаю в человекочасах разгребать проблемы с двухэтапной аутентификацией дешевле чем разгребать проблемы со взломами однофакторки и проведением расследований, утечкой данных, откатом несанкционированно выполненных услуг.
Вход по SMS это не 2FA
Логин, пароль + рандомный цифровой пароль из SMS.
не подставит слишком просто, нужно будет двухэтапную проверку пройти.
как написал в статье: двухэтапную проверку не обязательно проходить, прошлая сессия так просто не 'убивается'.
Есть мнение, что случайный пароль который может быть прочитан оператором сотовой связи, хакером юзающим уязвимости SS7, ФСБ, это не фактор «то чем ты владеешь» так как по сути им владеют многие, они просто не используют его. У вас просто по тексту двухфакторная аутентификация, а в комменте двухэтапная.
Я же имел ввиду, что на устройстве, то сессия умирает, да на сервере остается, я скорее про, то что злоумышленнику создать новую сессию с двухэтапной проверкой сложнее.
А старой сессией реально можно воспользоваться подменив параметры HTTP пакета?
Отсутствие завершения всех сессий это зло. Надеюсь разработчик увидит статью и одумается, поддержите лайками
Для дизлайкающих описание атаки.
Пользовательская сессия на госуслугах живет сутки, если не пару часов. В отдельной кнопке "Завершить везде сессии" просто нет необходимости.
Описываемая "уязвимость сессии" Госуслуг высосана из пальца. Эдак любую учетку на любом сервисе можно скомпрометировать, если доверять реквизиты третьим лицам.
Так зачем она живет сутки по факту если на устройстве через 15 минут бездействия удалятся?
Пользовательская сессия на госуслугах живет сутки, если не пару часов
Спасибо, 'посмеялся'.
Данная проблема конечно неприятна, но... Вы думаете что люди, которые отдают свой логин и пароль, чтобы им оператор что-то сделал в ЛК будут потом заходить и нажимать кнопку "сбросить сессии", даже если бы она была?
если доверять реквизиты третьим лицам.
Это не единичный случай, а выстроенная, доверительная система в масштабах государства. Соответственно на доверии будут наживаться.
Ничего подобного. Вот вчера я заходил на госуслуги, как раз когда читал эту статью. Сменил пароль даже. И вот сейчас я просто по прямой ссылке зашёл в личный кабинет без пароля. Кабинет просто открылся.
Писать нужно не в чат (это поддержка функционала, а не information security), а вот сюда: https://www.gosuslugi.ru/security.txt
Заводят учетку (либо меняют пароль в существующей, если его не говорят или не помнят) по номеру телефона и выдают пароль "ФамилияИО000000!", где цифры "главный" почтовый индекс города (не знаю насколько это распространено, у нас так). Думаю меняют его единицы, подключают подтверждение ещё меньше. Зная этот шаблон можно открывать телефонную книжку и голосовать, переоформлять квартиры (или чем там мошенники в госуслугах промышляют).
Да ладно, госуслуги вообще не про безопасность. Вот зашёл я в свой кабинет, пришло мне уведомление на почту о успешном входе. Как я могу опознать, что это был именно я, ни ip адреса, никакой дополнительной информации в сообщении нет, ещё и часовой пояс московский.
Как можно задать телефонный номер, не начинающийся с +7? Никак. Был момент, когда надо было для приезда в Россию, зарегистрироваться на госуслугах, чтобы заполнить въездную анкету. Однако для регистрации нужен номер телефона +7 и только такой.
Есть у меня вписанный номер телефона, я включаю 2fa, и даже проверки не происходит. А вдруг этот номер уже мне не принадлежит, просто включается 2fa через смс.
Госуслуги, уязвимость сессии