Если внезапно пришла СМС-ка "код для входа на госуслуги 314159" - какие обычно ваши чувства и действия? Если кратко - пароль, похоже, надо поменять - код приходит только после того как ввели правильный пароль, если не ошибаюсь.
Но эта маленькая заметка о другом - в списке активностей такие попытки не отображаются. Не думаю что это прочтут специалисты из Госуслуг (хотя, вдруг?) - но поскольку кейс с "двухфакторной" авторизацией популярный, хотелось бы обратить внимание на этот момент - на случай "вдруг кому пригодится".
Действия по порядку
Пробуем логиниться на госуслуги (а можете потестить и какой-нибудь другой сервис с двухэтапной авторизацией - и рассказать как там), при условии что настроен вход по логину-паролю и коду из СМС.
Вводим логин, вводим пароль. Как и многие пользователи я плохо помню свой пароль, поэтому пару раз ввожу неправильно. На третий раз удаётся и я вижу форму "введите код из СМС". Сообщение приходит на телефон, набираю нужные цифры - и ура, я залогинился.
Теперь щёлкнем "Профиль" в верхнем-правом углу, там выберем "Безопасность" и "Действия в системе". На всякий случай - в картинках, чтобы не путать общественность :)
Так мы добираемся до списка попыток входа в систему, выглядит как-то так:
Тут в соответствии с вышеупомянутыми попытками воспоминания пароля как раз и написано что два раза была "Ошибка" - пароль неправильный.
А что если неправильный СМС-код?
Разлогинившись или попробовав зайти из другого браузера, можно повторить попытку - но после правильного пароля ввести неправильный код.
Или не вводить его вообще (пока не истечет таймер).
Что появится в логе активности, который мы рассмотрели выше?
А ничего.
Поэтому картинку не прилагаю, она идентична предыдущей.
Подытожим логику
Если вход удался - запись в лог активностей создаётся
Если вход не удался по причине неправильного пароля - запись тоже создаётся (с пометкой "Ошибка")
А вот если кто-то ввёл правильный пароль и сидел тестировал разные коды - об этом записи не будет.
Хорошо ли это? По-моему нет. Конечно, пользователь в принципе будет оповещён СМС-кой, но если он её второпях удалил или она вообще не дошла...
Может нам был бы интересен IP-шник с которого эти злокозненные попытки происходили (в случае если пароль не подобрали а воспользовались забытым где-то ноутбуком с открытой страницей - друзья или родственники) - но мы его не узнаем.
В общем, хотя я не претендую на какие-то познания в области информационной безопасности, кажется что это косяк.
Заключение
Попытался найти на сайте какую-нибудь форму для отправки запроса на улучшение функционала, но не нашёл. Советуют обращаться к боту по имени Макс. Он неплохо подсказывает где какой раздел (в интерфейсе без него реально разобраться сложно) - но на остальные вопросы отвечает неконсистентно.
Ещё есть раздел "подать жалобу" для рассмотрения Органами Власти. Пока всё же решил действовать через Хабр :)
Комментарии (4)
diakin
13.11.2025 11:42А как хакер может ввести неправильный код, если он приходит на ваш телефон? Предполагается же что телефон находится у законного владельца? А если нет, и хакер вошел в телефон, то там уже без вариантов он получит доступ к госуслугам.
inkelyad
13.11.2025 11:42А как хакер может ввести неправильный код, если он приходит на ваш телефон?
Просто случайный вводит. Маленькая вероятность угадать есть.
И это повод беспокоится. Потому что означает, что пароль он уже знает.
greenlittlefrog
Хакер в столовой.jpg