С августа 2021 года (дата — по информации знакомого, работающего в гос.центре) на портале госуслуг (далее ЕПГУ) ввели ограничения/усложнения на самостоятельную привязку мобильного номера телефона к действующей, подтвержденной учётной записи пользователя. Чтобы привязать номер телефона к своей учётке на ЕПГУ необходимо с документами совершить визит в МФЦ. Запасной вариант (не для всех): номер абонента так же можно привязать к ЕПГУ самостоятельно в онлайн, например, через Сбербанк, Почтабанк приложения (если имеются полноценные аккаунты в этих сервисах).
С одной стороны – разработчики ЕПГУ создали неудобства для пользователей (особенно это затронуло стариков и инвалидов: личный визит, принудительный сброс пароля на новый/не повторяющийся) и дополнительную нагрузку на госработников, а с другой — усилили безопасность (т.к. кто угодно уже не сможет привязать номер мобильного телефона без ведома пользователя ЕПГУ).
Life
Отец-пенсионер получал различные госуслуги через ЕПГУ, но всё равно ногами, так как в силу возраста не понимает современные технологии, невзирая на то, что государство и дальше, и дольше десятилетия продолжает стимулировать граждан РФ пользоваться электронными услугами в равной степени независимо от возраста и состояния здоровья.
Приблизительная последовательность действий пенсионеров для получения государственных услуг.
Поход гражданина, который не разбирается в таких вещах, как ЕПГУ и как им пользоваться, к госам (те же очереди, только через другие окна); сотрудники ведомств требуют 'логин' и 'пароль' от ЕПГУ-учётки пользователя (в иных случаях - сбрасывают пароль по телефону); заходят в лк ЕПГУ пользователя и осуществляют нужные манипуляции с данными, что уже само по себе с однобокой стороны является not safe. По окончанию/оказанию помощи, распоряжение судьбой сессии лк пользователя ЕПГУ находится во власти сотрудника, который может (в теории/на практике) завладеть персональными данными пользователя: сохранить cookie, наделать информативных скриншотов, а также сохранить логин и пароль пользователя, создавая свою БД.
Небольшое отступление.
по моему личному наблюдению, чем 'шире' контора, тем выше цифровые риски. Например, когда я получал перевыпуск банковской карты в Сбербанке, мою старую карту попросили и ушли с ней в неизвестном направлении на пару минут, а по приходу сообщили, что ее уничтожили, но большее удивление вызвал другой факт, что сотрудница банка принесла новую карту взамен старой, как на ладони в прямом смысле слова (без защитного конверта).
На вопрос:
— 'А так можно? Это же не конфиденциально. Данные карты можно списать и пд.', а в ответ:
— 'Мы сотрудники банка, там УК РФ, если что-то неправомерное....
Вот такая защита конфиденциальных данных граждан реализована: на честном, пионерском банковском слове.
Провел отцу бодрящую лекцию по ИБ и предложил установить на вход его учётки 2FA, а как побочное неудобство: ему необходимо лично посетить с документами МФЦ. Он неспешно согласился...
Баг-Фича
Логика
Предоставив в будущем: гос.сотрудникам логин/пароль пользователь "может не переживать", что его конфиденциальные данные могут быть скомпрометированы и в дальнейшем использоваться не по назначению (так как при входе в ЕПГУ будет требоваться + дополнительный пароль из смс).
Предыдущую активную сессию можно завершить на любом своём устройстве (закрыть все сессии кроме текущей, не дожидаясь её автоматического истечения) и надеяться, что личные данные — под контролем, в безопасности.
К сожалению, второй пункт в ЕПГУ не работает в действительности.
В различных цифровых продуктах 2-й пункт реализован по разному, но с единой логикой, например, в Tg имеется кнопка 'завершить все другие сеансы', в Яндексе достаточно нажать 'выйти' из аккаунта и все предыдущие сессии будут сброшены и тд.
В лк ЕПГУ web-версии нет 'особой кнопки' во вкладке 'безопасность', но так же, как и в других системах: присутствует возможность 'выйти' из учетки.
После такого выхода в журнале лк фиксируется ' точка выхода', но все предыдущие сессии на других разных устройствах/ip остаются 'живыми', что собственно и является дырой и обесценивает функционал 2FA на портале ЕПГУ при всех неудобствах, которые существует — лишь бы сделать сервис конфиденциальнее.
Реальный пример провала по линии ИБ на госуслугах (из опыта): гражданин посещает МФЦ, ему доступен ПК с ОС Mint, на котором он может делать всё что ему требуется: обычно поработать в своем лк ЕПГУ без посторонних глаз, но под камерой. Временами гражданин-пользователь забывает выйти из системы ЕПГУ, покидая локацию госцентра. А удалено он уже не может "закрыть все свои предыдущие сессии" – функциональность ЕПГУ не работает. Обычно, если позволяет время, выход из лк госуслуг, ушедшего гражданина, осуществляет прилежный сотрудник МФЦ, которому доступны все персональные данные нерадивого пользователя. В ином случае – другой гражданин, который пришел так же воспользоваться ПК/ЕПГУ в МФЦ и обнаружил, что в ЕПГУ кто-то уже залогинен, и которому также доступны действия/перс.данные субъекта, которого он и не знает.
Еще пример: у пользователя ЕПГУ украли телефон (потерял), пользователь сменил пароль в своем лк ЕПГУ (сделал выход из всех сессий своего аккаунта, который не работает), но на потерянном телефоне 'вечная сессия' осталась живой в приложении. И у недруга увеличиваются шансы на эксплуатацию уязвимости с телефона под старым паролем, создавая проблемы хозяину учётки, и чью непричастность в отдалённом будущем, возможно, придется мучаясь еще и доказывать. Неимоверно, не так ли?
Добросовестно хотел направить письмо об уязвимости в техподдержку, но 'приближенные государству' сопровождение не принимают письма, только звонки, паблики в соцсетях и переписка в чате (удивительно, но некоторые компании так всё еще делают). Будний_рабочий день, а в чате кажется нет живых. На момент опубликования статьи я не достучался до ТП.
Предварительный вывод — ЕПГУ уязвим.
Лично я не удивлён, что персональные данные пользователей (в т.ч. и мои) текут, как символы в Матрице на экране монитора оператора Навуходоносора.
Пенсионер по большому счету зря посещал МФЦ и вряд ли согласиться вновь поучаствовать в кампании по ИБ своего аккаунта.
А разработчикам ЕПГУ необходимо улучшать конфиденциальность системы пропорционально усложнению жизни пользователей портала, особенно для категории льготников.
UPD: написал обращение письмом на 'тайную' электропочту, которую подсказали в комментах, а также персонально два раза толкнул в бок на Хабре представителей госуслуг. Ответа не получил (ни даже по истечению 30 дней).
Вывод
Учитывая вышеизложенное/возраст портала: уязвимость сессии при избыточной нагрузке на бюджетников по услуге 2FA и отсутствием обратной связи по предоставленным данным об уязвимости, считаю, что ЕПГУ (один из важнейших, государственных, цифровых проектов РФ) по линии ИБ курируют сотрудники (мягко говоря) недостаточной компетентности, а компания не в состоянии обеспечить условия развития (пример — отсутствие программы bug bounty, и раздутый штат персонала).
Вся система выстроенная на доверии, а не на криптографии + техническая безграмотность 'чинов' на ключевых постах постоянно повышают риски/инциденты в цифровой среде (примеры: сберкарта, выданная Марией без защитного конверта; усиленная, личная ЭЦП, выданная 'Колей' в аккредитованном УЦ и т.д.).
UPD: как выяснилось:: проблемы на госуслугах имеются/не устраняются не только по линии ИБ. Над одним ботом ЕПГУ трудится команда из (внимание!) 70 человек (по информации Новой газеты, бота которого хакали).
Совсем неудивительно, а 'трагично', что спустя некоторое время вышеизложенное подтверждается в СМИ.
[Отредактировано, осень 2023]
Спустя два года зашел на Госусуслуги в ЛК, портал обновили, устранив критическую уязвимость, вероятно, прочитали статью и получили нагоняй за крит. "сливы" в последнее время.
Добавили наконец-то в т.ч. "выход пользователя на всех устройствах". Благодарность только забыли высказать за поднятие проблемы на высшей уровень менеджмента, но это уже другой вопрос: воспитанность/нет гос.кибер.системы.
💎 Опробовать поисковую систему, разработанную автором статьи.
