Что такое отображать сообщение на портале госуслуг в открытом доступе
Дыра на портале «Госуслуги»: внутренние документы лежат в открытом доступе
Специалист по безопасности Александр Литреев рассказал об уязвимости на портале «Госуслуги».
Оказалось, что внутренние документы чиновников с их персональной информацией открыты для свободного доступа. «Абсолютно _ВСЯ_ база рабочих документов, касающихся интеграции лежит в открытом доступе, — пишет Литреев. — Она никак не зашифрована, не имеет никакой авторизации/аутентификации и, в принципе, скачать её может абсолютно кто угодно».
Посмотреть любой документ в базе можно по прямой ссылке такого вида:
где XXXXX — порядковый номер документа в системе.
Например, по запросу /files/get/10484 скачивается таблица Excel под названием МВ ответственные.xlsx, в которой содержится информация обо всех лицах, ответственных за интеграцию. В списке указаны ФИО, должность, служебные и личные мобильные телефоны, адрес электронной почты для связи по вопросам интеграции.
Александр Литреев напоминает, что на разработку портала «Госуслуги» было потрачено более 495 миллионов рублей. Ресурс позиционируется как централизованный сервис взаимодействия с различными государственными службами и органами — с помощью него можно оформить паспорт/загранпаспорт, водительское удостоверение, получить справку об отсутствии судимости и многое другое. По данным Минкомсвязи, по состоянию на апрель 2019 года на портале были зарегистрированы 86,5 млн россиян.
Для интеграции данных из разных источников на портале организована Система Межведомственного Электронного Взаимодействия (СМЭВ), через которую подключаются все региональные и федеральные органы. Именно эта часть портала не защищена. Прямо сейчас документы с портала http://smev.gosuslugi.ru/ находятся в открытом доступе.
«Естественно, не составляет никакого труда написать скрипт, который обеспечит перебор всех таких адресов и выгрузит все такие документы, что уже успели сделать энтузиасты из одного соседнего государства», — пишет Литреев.
Хакерская группа THack3forU выложила на Github питоновский скрипт для поиска валидных URL с документами.
Как защитить свой аккаунт на «Госуслугах»
Наши персональные данные на портале «Госуслуги» находятся под надежной защитой: их никому не передают без нашего согласия. Но к их безопасности стоит подходить серьезно, даже если вы пользуетесь ими не очень часто. Ведь иногда злоумышленники могут получить доступ к вашему почтовому ящику или даже взломать личный аккаунт. Чаще всего это происходит из-за низкого уровня защиты и неосторожных действий самого владельца учетной записи.
Однако необходимо помнить, что безопасность определяется не только уровнем защиты портала, но и уровнем защиты вашего рабочего места, с которого осуществляется доступ. И если злоумышленник получит доступ к вашему аккаунту на «Госуслугах», он сможет действовать от вашего имени не только на самом портале, но и за его пределами. Речь идет не о мелких пакостях, а об очень серьезных вещах. Например, на вас могут оформить кредит. Или зарегистрировать на ваше имя фирму, проводящую сомнительные операции. Или распорядиться вашей собственностью на свое усмотрение.
Как защитить свой аккаунт
Портал «Госуслуги» предлагает несколько инструментов для защиты вашего аккаунта. Они также позволяют вам вовремя узнать о попытке взлома.
1. Используйте уникальный пароль
«Госуслуги» требуют от вас придумать длинный и сложный пароль, чтобы его было труднее подобрать. Однако сервис никак не может проверить его уникальность. Если вы воспользуетесь тем же самым паролем, которым защитили электронную почту и еще десяток аккаунтов на других сервисах, то утечка данных с любого из них поставит ваши документы под угрозу.
Поэтому для такого важного аккаунта, как на «Госуслугах», не только рекомендуется, но и жизненно необходимо придумать уникальный пароль. А чтобы вы не боялись его забыть, есть несколько советов по составлению и запоминанию паролей. Больше идей можно найти в статье про надежные пароли. И, конечно, всегда можно подстраховаться и сохранить его в менеджере паролей.
2. Включите оповещения о входе в ваш аккаунт Госуслуг
Если вы включите оповещения, то после каждого успешного входа вам придет письмо на электронную почту. Так вы узнаете, если кто-либо, кроме вас, получит доступ к аккаунту, и сможете своевременно поменять пароль. Чтобы включить уведомления о входе:
3. Задайте контрольный вопрос
Контрольный вопрос — это дополнительная мера защиты от попыток посторонних сменить пароль от вашего аккаунта. Но стоит помнить, что контрольный вопрос не защитит вас, если ответ на него легко угадать или найти в Интернете. Важно, чтобы его знали только вы, причем могли в любой момент его вспомнить.
Чтобы задать контрольный вопрос:
4. Включите двухэтапную проверку входа
После включения двухэтапной проверки, чтобы войти в вашу учетную запись, злоумышленнику потребуется ввести не только пароль, но и одноразовый SMS-код, который придет на ваш телефон. Таким образом, вы будете в относительной безопасности, даже если ваш пароль украдут. Заодно вы вовремя узнаете о том, что пароль попал не в те руки, и сможете оперативно сменить его.
Чтобы включить двухэтапную проверку:
5. Включите вход с помощью электронной подписи
Если вы пользуетесь квалифицированной электронной подписью, можно применять ее и для входа в аккаунт. Этот метод надежнее SMS-кодов: перехватить сообщение с одноразовым кодом проще, чем подделать подпись.
Если электронной подписи у вас нет, безопаснее отказаться от этой опции: без ЭЦП она бесполезна, а включая ее, вы теряете возможность получать коды через SMS.
Что еще важно знать
Как видите, настроек безопасности на «Госуслугах» не так много, и разобраться в них совсем не сложно. Кроме этого, чтобы защитить свои данные следуйте простым рекомендациям:
Как защитить аккаунт на «Госуслугах»: прячем документы в киберсейф
Пользуетесь «Госуслугами»? Рассказываем, как надежно защитить свои документы.
Безопасность аккаунтов в социальных сетях и онлайн-сервисах — та еще головная боль. У многих по меньшей мере с десяток учеток. Нередко они нужны буквально на один раз — скажем, учетная запись в интернет-магазине, в котором вы вряд ли еще раз что-то купите.
Однако аккаунты в некоторых сервисах гораздо важнее, и к их безопасности стоит подходить серьезно, даже если вы пользуетесь ими не очень часто. Один из таких сервисов — «Госуслуги».
Зачем защищать аккаунт на «Госуслугах»
Если злоумышленник получит доступ к вашему аккаунту на «Госуслугах», он сможет проворачивать от вашего имени аферы не только на самом портале, но и за его пределами. Причем речь идет не о мелких пакостях, а об очень серьезных вещах. Например, на вас могут оформить кредит. Или распорядиться вашей собственностью на свое усмотрение.
Так, в октябре прошлого года у одного из пользователей «Госуслуг» украли квартиру. Он узнал об этом случайно — от отца, который заметил в платежных документах чужую фамилию. Как позже выяснилось, чтобы оформить на себя недвижимость, мошенники не только взломали аккаунт жертвы, но и прикрепили к нему квалифицированную электронную подпись.
Это непростая задачка: чтобы получить такую подпись, необходимо лично явиться в удостоверяющий центр. Тем не менее, мошенники каким-то образом с этим справились и успешно провернули сделку, что пострадавшему подтвердили в Росреестре и полиции.
На историю с квартирой отреагировали законодатели: теперь продавать жилье удаленно можно только после того, как вы лично сообщите в Росреестр, что действительно этого хотите.
Однако воспользоваться вашей учетной записью на «Госуслугах» могут и иначе. Например, портал позволяет при наличии все той же квалифицированной электронной подписи оформить юридическое лицо. Если на ваше имя зарегистрируют фирму, проводящую сомнительные операции, вы рискуете не только потерять деньги, но и заработать проблемы с законом.
Как защитить аккаунт на gosuslugi.ru
Портал «Госуслуги» предлагает несколько инструментов для защиты вашего аккаунта. Они позволяют, с одной стороны, усложнить мошенникам работу, а с другой — помогут вам вовремя узнать о попытке взлома.
1. Используйте уникальный пароль
«Госуслуги» требуют от вас придумать длинный и сложный пароль, чтобы его было труднее подобрать. Однако сервис никак не может проверить его уникальность. Если вы воспользуетесь тем же самым паролем, которым защитили еще десяток аккаунтов на других сервисах, то утечка данных с любого из них поставит ваши документы под угрозу.
Поэтому мы рекомендуем для каждого аккаунта — и в особенности для такого важного, как на «Госуслугах», — придумывать уникальный пароль. А чтобы вы не боялись его забыть, у нас есть для вас несколько лайфхаков по составлению паролей. И, конечно, всегда можно подстраховаться и сохранить его в менеджере паролей.
2. Включите оповещения о входе в ваш аккаунт Госуслуг
Если вы включите оповещения, то после каждого успешного входа вам придет письмо на электронную почту. Так вы узнаете, если кто-либо, кроме вас, получит доступ к аккаунту, и сможете своевременно поменять пароль. Чтобы включить уведомления о входе:
3. Задайте контрольный вопрос
Контрольный вопрос — это дополнительная мера защиты от попыток посторонних сменить пароль от вашего аккаунта. Злоумышленники могут взломать почтовый ящик, к которому привязан ваш аккаунт, и даже узнать номера документов, которые сайт уточняет, чтобы убедиться, что вы — это вы.
Однако стоит помнить, что контрольный вопрос не защитит вас, если ответ на него легко угадать или найти в Интернете. Важно, чтобы его знали только вы, причем могли в любой момент его вспомнить. Для этого можно прибегнуть к хитрости — придумать свой собственный метод записи ответа.
Например, использовать знаки подчеркивания вместо гласных: Р_З_НЬ вместо Рязань — или написать слово задом наперед: авонавИ вместо Иванова. Больше идей, как запомнить ответ и сделать его практически неугадываемым, можно найти в нашем посте про надежные пароли.
Чтобы задать контрольный вопрос:
4. Включите двухэтапную проверку входа
После включения двухэтапной проверки, чтобы залогиниться в вашу учетную запись, злоумышленнику потребуется ввести не только пароль, но и одноразовый SMS-код, который придет на ваш телефон. Таким образом, вы будете в относительной безопасности, даже если ваш пароль украдут. Заодно вы вовремя узнаете о том, что пароль попал не в те руки, и сможете оперативно сменить его.
Чтобы включить двухэтапную проверку:
5. Включите вход с помощью электронной подписи
Если вы пользуетесь квалифицированной электронной подписью, можно применять ее и для входа в аккаунт. Этот метод надежнее SMS-кодов: перехватить сообщение с одноразовым кодом проще, чем подделать подпись.
Если же электронной подписи у вас пока нет, безопаснее будет, наоборот, отказаться от этой опции: без ЭЦП она бесполезна, а включая ее, вы теряете возможность получать коды через SMS.
Храните документы в надежном месте
Как видите, настроек безопасности на «Госуслугах» не так много, и разобраться в них совсем несложно. Тем не менее, следуя нашим рекомендациям, вы существенно усложните жизнь злоумышленникам и защитите свои данные.
Согласие на предоставление доступа к данным для сайта Госуслуги
Данные в личном кабинете пользователя портала «Госуслуги» предоставляются гражданам различными ведомствами. Для того, чтобы своевременно получать услуги в электронном формате всем пользователям сайта необходимо дать согласие для предоставления доступа к данным. Это позволит автоматически заполнять строки в заявлениях с личными сведениями и датами. Если какой-то из документов придется заменить, то информация о нем обновится в режиме онлайн. В будущем социальные льготы можно будет получать без заявлений.
Почему именно эти данные?
С согласия пользователя обеспечивается доступ к данным, которые есть у ведомств. Информация периодически обновляется и поддерживается в личном кабинете в актуальном состоянии. При наличии этих данных можно сэкономить массу времени на заполнении анкет и заявлений при получении услуг. К примеру, информация из справки о доходах может понадобиться при оформлении кредита, а сведения от МВД – для получения ОСАГО.
Кому могут предоставляться данные пользователя
Персональные данные гражданина не передаются третьим лицам через портал Госуслуг. Функция цифрового согласия нужна для того, чтобы предоставить доступ к своим данным для получения услуг в тех организациях, которым пользователь может доверять. В иные ведомства и организации информация передается исключительно с непосредственного согласия гражданина.
Насколько защищены данные
Персональные сведения о пользователе находятся в полной безопасности. Они хранятся на сервере, где соблюдаются все требования к информационной безопасности, которые приняты в нашей стране.
Можно ли дать согласие на часть данных
На портале согласие пользователя необходимо только на те данные, которые ему могут понадобиться для получения государственных услуг. Разработчики постоянно улучшают функционал личного кабинета, поэтому в скором времени в нем можно будет выбрать определенные данные, которые могут там храниться.
Нужна ли подпись для выдачи согласия
Для того чтобы оформить предоставление согласия на обработку данных, потребуется только подтвердить системный запрос. В результате оно будет подписано обычной электронной подписью.
Она представляет собой уникальный логин и пароль от личного кабинета на сайте. Для этой процедуры не нужна квалифицированная электронная подпись.
Чем отличаются учетные записи на Госуслугах и как сделать подтвержденную?
Следуя инструкции, пользователь сможет в несколько кликов подать заявление на загранпаспорт, записать ребенка в детский сад и получить множество других услуг.
Официальный портал Екатеринбурга начинает цикл публикаций с разъяснением удобных механизмов получения муниципальных и государственных услуг в электронном виде.
В первом выпуске специалисты Комитета связи и информационных технологий Администрации города Екатеринбурга расскажут, как создать подтвержденную учетную запись на портале госуслуг и получить доступ ко всем возможностям, которые предоставляет ресурс.
Зачем нужна учетная запись?
Учетная запись используется, чтобы защитить личные данные пользователей; это личная точка доступа гражданина к госуслугам. По учетной записи портал госуслуг определяет личность пользователя.
Какие типы учетных записей существуют?
Существует три типа учетных записей.
1. Упрощенная.
Упрощенная учетная запись открывает доступ только к справочной информации: получению бухгалтерской отчетности юрлица или копий некоторых документов. Для упрощенной учетной записи нужна лишь электронная почта или номер телефона. Но большинство государственных и муниципальных услуг будут скрыты либо недоступны для пользователя. Поэтому лучше сразу получить стандартную учетную запись. Это занимает пять минут.
2. Стандартная.
Стандартная учетная запись расширяет список доступных услуг: проверка штрафов ГИБДД по свидетельству о регистрации транспортного средства, по номеру автомобиля и водительскому удостоверению; регистрация товарного знака. Для этой записи пользователь заполняет паспортные данные и СНИЛС. Но чтобы полноценно пользоваться порталом, нужен следующий тип учетной записи.
3. Подтвержденная.
Подтвержденная учетная запись открывает доступ ко всем государственным и муниципальным услугам: получение загранпаспорта, запись ребенка в детский сад, регистрация по месту жительства и многое другое. Услуги Администрации города Екатеринбурга доступны в электронном виде на федеральном портале только при наличии у пользователя подтвержденной учетной записи.
Зачем разделены учетные записи?
Чем более юридически значима услуга, тем выше требования к уровню учетной записи. Например, чтобы принять заявление на получение компенсации расходов на оплату жилого помещения и коммунальных услуг, необходимо знать, что вы это вы. Для этого требуется подтвердить личность.
Как сделать подтвержденную учетную запись?
1. Необходимо зарегистрироваться на портале госуслуг: для этого нужно ввести имя, фамилию, номер мобильного телефона или адрес электронной почты. Вы получите упрощенную учетную запись.
2. Внести паспортные данные, страховой номер индивидуального лицевого счета и дождаться онлайн-проверки данных (занимает до пяти дней). Это дает стандартную учетную запись.
3. Подтвердить личность: лично прийти в центр обслуживания, в том числе в любом из отделений муниципального Многофункционального центра, получить письмо с кодом по почте или воспользоваться электронной подписью.
Если вы правильно выполнили все действия, поздравляем — вам доступны все услуги, которые есть на портале!