С августа 2021 года (дата — по информации знакомого, работающего в гос.центре) на портале госуслуг (далее ЕПГУ) ввели ограничения/усложнения на самостоятельную привязку мобильного номера телефона к действующей, подтвержденной учётной записи пользователя. Чтобы привязать номер телефона к своей учётке на ЕПГУ необходимо с документами совершить визит в МФЦ. Запасной вариант (не для всех): номер абонента так же можно привязать к ЕПГУ самостоятельно в онлайн, например, через Сбербанк, Почтабанк приложения (если имеются полноценные аккаунты в этих сервисах).
С одной стороны – разработчики ЕПГУ создали неудобства для пользователей (особенно это затронуло стариков и инвалидов: личный визит, принудительный сброс пароля на новый/не повторяющийся) и дополнительную нагрузку на госработников, а с другой — усилили безопасность (т.к. кто угодно уже не сможет привязать номер мобильного телефона без ведома пользователя ЕПГУ).
Life
Отец-пенсионер получал различные госуслуги через ЕПГУ, но всё равно ногами, так как в силу возраста не понимает современные технологии, невзирая на то, что государство и дальше, и дольше десятилетия продолжает стимулировать граждан РФ пользоваться электронными услугами в равной степени независимо от возраста и состояния здоровья.
Приблизительная последовательность действий пенсионеров для получения государственных услуг.
Поход гражданина, который не разбирается в таких вещах, как ЕПГУ и как им пользоваться, к госам (те же очереди, только через другие окна); сотрудники ведомств требуют 'логин' и 'пароль' от ЕПГУ-учётки пользователя (в иных случаях - сбрасывают пароль по телефону); заходят в лк ЕПГУ пользователя и осуществляют нужные манипуляции с данными, что уже само по себе с однобокой стороны является not safe. По окончанию/оказанию помощи, распоряжение судьбой сессии лк пользователя ЕПГУ находится во власти сотрудника, который может (в теории/на практике) завладеть персональными данными пользователя: сохранить cookie, наделать информативных скриншотов, а также сохранить логин и пароль пользователя, создавая свою БД.
Небольшое отступление.
по моему личному наблюдению, чем 'шире' контора, тем выше цифровые риски. Например, когда я получал перевыпуск банковской карты в Сбербанке, мою старую карту попросили и ушли с ней в неизвестном направлении на пару минут, а по приходу сообщили, что ее уничтожили, но большее удивление вызвал другой факт, что сотрудница банка принесла новую карту взамен старой, как на ладони в прямом смысле слова (без защитного конверта).
На вопрос:
— 'А так можно? Это же не конфиденциально. Данные карты можно списать и пд.', а в ответ:
— 'Мы сотрудники банка, там УК РФ, если что-то неправомерное....
Вот такая защита конфиденциальных данных граждан реализована: на честном, пионерском банковском слове.
Провел отцу бодрящую лекцию по ИБ и предложил установить на вход его учётки 2FA, а как побочное неудобство: ему необходимо лично посетить с документами МФЦ. Он неспешно согласился...
Баг-Фича
Логика
Предоставив в будущем: гос.сотрудникам логин/пароль пользователь "может не переживать", что его конфиденциальные данные могут быть скомпрометированы и в дальнейшем использоваться не по назначению (так как при входе в ЕПГУ будет требоваться + дополнительный пароль из смс).
Предыдущую активную сессию можно завершить на любом своём устройстве (закрыть все сессии кроме текущей, не дожидаясь её автоматического истечения) и надеяться, что личные данные — под контролем, в безопасности.
К сожалению, второй пункт в ЕПГУ не работает в действительности.
В различных цифровых продуктах 2-й пункт реализован по разному, но с единой логикой, например, в Tg имеется кнопка 'завершить все другие сеансы', в Яндексе достаточно нажать 'выйти' из аккаунта и все предыдущие сессии будут сброшены и тд.
В лк ЕПГУ web-версии нет 'особой кнопки' во вкладке 'безопасность', но так же, как и в других системах: присутствует возможность 'выйти' из учетки.
После такого выхода в журнале лк фиксируется ' точка выхода', но все предыдущие сессии на других разных устройствах/ip остаются 'живыми', что собственно и является дырой и обесценивает функционал 2FA на портале ЕПГУ при всех неудобствах, которые существует — лишь бы сделать сервис конфиденциальнее.
Реальный пример провала по линии ИБ на госуслугах (из опыта): гражданин посещает МФЦ, ему доступен ПК с ОС Mint, на котором он может делать всё что ему требуется: обычно поработать в своем лк ЕПГУ без посторонних глаз, но под камерой. Временами гражданин-пользователь забывает выйти из системы ЕПГУ, покидая локацию госцентра. А удалено он уже не может "закрыть все свои предыдущие сессии" – функциональность ЕПГУ не работает. Обычно, если позволяет время, выход из лк госуслуг, ушедшего гражданина, осуществляет прилежный сотрудник МФЦ, которому доступны все персональные данные нерадивого пользователя. В ином случае – другой гражданин, который пришел так же воспользоваться ПК/ЕПГУ в МФЦ и обнаружил, что в ЕПГУ кто-то уже залогинен, и которому также доступны действия/перс.данные субъекта, которого он и не знает.
Добросовестно хотел направить письмо об уязвимости в техподдержку, но 'приближенные государству' сопровождение не принимают письма, только звонки, паблики в соцсетях и переписка в чате (удивительно, но некоторые компании так всё еще делают). Будний_рабочий день, а в чате кажется нет живых. На момент опубликования статьи я не достучался до ТП.
Предварительный вывод — ЕПГУ уязвим.
Лично я не удивлён, что персональные данные пользователей текут, как символы в Матрице на экране монитора оператора Навуходоносора.
Пенсионер по большому счету зря посещал МФЦ и вряд ли согласиться вновь поучаствовать в кампании по ИБ своего аккаунта.
А разработчикам ЕПГУ необходимо улучшать конфиденциальность системы пропорционально усложнению жизни пользователей портала, особенно для категории льготников.
UPD: написал обращение письмом на 'тайную' электропочту, которую подсказали в комментах, а также персонально два раза толкнул в бок на Хабре представителей госуслуг. Ответа не получил (ни даже по истечению 30 дней).
Вывод
Учитывая вышеизложенное: уязвимость сессии при избыточной нагрузке на бюджетников по услуге 2FA и отсутствием обратной связи по предоставленным данным об уязвимости, считаю, что ЕПГУ (один из важнейших, государственных, цифровых проектов РФ) по линии ИБ курируют сотрудники недостаточной компетентности.
UPD: как выяснилось:: проблемы на госуслугах имеются/не устраняются не только по линии ИБ. Над одним ботом ЕПГУ трудится команда из (внимание!) 70 человек.
Комментарии (27)
Protos
21.09.2021 15:13+7Отсутствие завершения всех сессий это зло. Надеюсь разработчик увидит статью и одумается, поддержите лайками
Cherezzabo
21.09.2021 15:49-1Пользовательская сессия на госуслугах живет сутки, если не пару часов. В отдельной кнопке "Завершить везде сессии" просто нет необходимости.
Описываемая "уязвимость сессии" Госуслуг высосана из пальца. Эдак любую учетку на любом сервисе можно скомпрометировать, если доверять реквизиты третьим лицам.Protos
21.09.2021 16:01+3Так зачем она живет сутки по факту если на устройстве через 15 минут бездействия удалятся?
ne555 Автор
21.09.2021 16:21-1Пользовательская сессия на госуслугах живет сутки, если не пару часов
Спасибо, 'посмеялся'.
APXEOLOG
22.09.2021 11:39-1А что смешного? Я со своего ПК регулярно перелогиниваюсь в ЛК Госуслуг, даже в течение одного дня, хотя у меня все галки с "запомнить пароль" стоят (пароль-то оно запомнило, но все равно просит ввести код из СМС каждый раз)
ne555 Автор
22.09.2021 13:04(пароль-то оно запомнило, но все равно просит ввести код из СМС каждый раз)
Ну вот не просит он код из смс. Как зашел в web-версию так и остался.
Я вчера тесты провел перед публикацией и знаете что? Код из смс он не просит, сесии живые (разные устройства и разные ip).
ifap
21.09.2021 16:25+11И вот Вы видите, что кто-то посторонний шурует в Вашем аккаунте на Госуслугах, но не можете принудительно вышибить его оттуда, утешая себя мыслью, что если не через пару часов, то уж через сутки-то точно… /sarcasm
APXEOLOG
22.09.2021 11:43Данная проблема конечно неприятна, но... Вы думаете что люди, которые отдают свой логин и пароль, чтобы им оператор что-то сделал в ЛК будут потом заходить и нажимать кнопку "сбросить сессии", даже если бы она была?
ifap
22.09.2021 12:16А что, другим эту кнопку не надо показывать? Не они — так их более продвинутые родственники нажмут, как вот ТС. Или как я — выдрессировал родителей во всех непонятных случаях включать сирену и на всех парах бежать ко мне. Обычно случается false positive, но береженого судьба бережет.
ne555 Автор
21.09.2021 18:44+2если доверять реквизиты третьим лицам.
Это не единичный случай, а выстроенная, доверительная система в масштабах государства. Соответственно на доверии будут наживаться.
ColdSUN
22.09.2021 09:52+1Ничего подобного. Вот вчера я заходил на госуслуги, как раз когда читал эту статью. Сменил пароль даже. И вот сейчас я просто по прямой ссылке зашёл в личный кабинет без пароля. Кабинет просто открылся.
lukasafonov
21.09.2021 23:16+3Писать нужно не в чат (это поддержка функционала, а не information security), а вот сюда: https://www.gosuslugi.ru/security.txt
mammuthus
22.09.2021 01:05+2Почему оказываемая в физическом окне оффлайн-услуга требует захода пользователя на Госуслуги?
В таком случае, услуга не будет оказана вовсе, если у клиента нет учётной записи?
dm_bondarev
22.09.2021 01:48+2Заводят учетку (либо меняют пароль в существующей, если его не говорят или не помнят) по номеру телефона и выдают пароль "ФамилияИО000000!", где цифры "главный" почтовый индекс города (не знаю насколько это распространено, у нас так). Думаю меняют его единицы, подключают подтверждение ещё меньше. Зная этот шаблон можно открывать телефонную книжку и голосовать, переоформлять квартиры (или чем там мошенники в госуслугах промышляют).
ColdSUN
22.09.2021 09:50+3Да ладно, госуслуги вообще не про безопасность. Вот зашёл я в свой кабинет, пришло мне уведомление на почту о успешном входе. Как я могу опознать, что это был именно я, ни ip адреса, никакой дополнительной информации в сообщении нет, ещё и часовой пояс московский.
Как можно задать телефонный номер, не начинающийся с +7? Никак. Был момент, когда надо было для приезда в Россию, зарегистрироваться на госуслугах, чтобы заполнить въездную анкету. Однако для регистрации нужен номер телефона +7 и только такой.
Есть у меня вписанный номер телефона, я включаю 2fa, и даже проверки не происходит. А вдруг этот номер уже мне не принадлежит, просто включается 2fa через смс.
m0tral
23.09.2021 07:42Что удивительного? В курсе как в России покупается симка? В курсе что все публичные входы авторизуется с помощью симки? А вы в Беларуси или Италии попробуйте зайти в интернет в Макдаке. А тут сайт госуслуг, все логично.
ColdSUN
23.09.2021 10:40А что не так с публичными wifi в Италии? Зачастую надо просто принять условия. Никаких телефонов или почт вводить зачастую не надо. Некоторые конечно просят телефон, потом код из смс ввести, но нечасто с таким сталкивался.
Protos
Вход по SMS это не 2FA. Ну и система закрывает созданную заявку с текстом вида «у нас большая загрузка», с ботом раньше можно еще было пообщаться - сейчас нет. Но зато никто вашего отца не подставит слишком просто, нужно будет двухэтапную проверку пройти.
Я согласен с таким раскладом, думаю в человекочасах разгребать проблемы с двухэтапной аутентификацией дешевле чем разгребать проблемы со взломами однофакторки и проведением расследований, утечкой данных, откатом несанкционированно выполненных услуг.
ne555 Автор
Логин, пароль + рандомный цифровой пароль из SMS.
как написал в статье: двухэтапную проверку не обязательно проходить, прошлая сессия так просто не 'убивается'.
Protos
Есть мнение, что случайный пароль который может быть прочитан оператором сотовой связи, хакером юзающим уязвимости SS7, ФСБ, это не фактор «то чем ты владеешь» так как по сути им владеют многие, они просто не используют его. У вас просто по тексту двухфакторная аутентификация, а в комменте двухэтапная.
Я же имел ввиду, что на устройстве, то сессия умирает, да на сервере остается, я скорее про, то что злоумышленнику создать новую сессию с двухэтапной проверкой сложнее.
А старой сессией реально можно воспользоваться подменив параметры HTTP пакета?
K10
Нет.
Поэтому эта "уязвимость" не имеет практического смысла.
ne555 Автор
Практический смысл ЕПГУ - уязвим.
Все, кто ранее вошли в лк там и остались.
xaosxaos2
с логином ещё проще, недавнее посещение ПФР, они просто не спрашивая тупо вбили номер телефона и фенита ля комедия.