В интернет выложили 28 тысяч аккаунтов «Госуслуги»

Согласно информации издания «Коммерсантъ», в публичном доступе оказались выложены персональные данные пользователей портала государственных услуг одного из российских регионов. Утечка данных стала возможна из-за ошибочной настройки программного обеспечения одного из серверов портала, в результате чего данные оказались доступными для свободного скачивания. По данным издания РБК, всего в утекшей базе оказались данные двадцати восьми тыс. пользователей, включая: ФИО, даты рождения, паспортные данные, ИНН, СНИЛС, номера телефонов, адреса электронной почты, информацию о детях, токены авторизации для доступа в личные кабинеты граждан с мобильных устройств (нет информации, можно ли войти в личные кабинеты пользователей с их помощью). На данный момент настройки сервера, с которого произошла утечка, изменены таким образом, чтобы доступ к данным оказался закрыт. По предварительной версии специалистов по информационной безопасности, утечка данной базы данных стала возможна из-за ошибки конфигурирования сервера, расположенного на площадке «Ростелекома». Как рассказал Ашот Оганесян, основатель и технический директор компании DeviceLock, поисковая система Shodan проиндексировала оказавшуюся без защиты базу на сервере еще 3 декабря 2019 года, а закрыть доступ к данным сетевые специалисты обслуживающей организации стали пытаться только двадцать дней спустя. Изначально на сервере, откуда была утечка данных, был выставлен нестандартный порт для системы Elasticsearch (9201 вместо 9200). Кстати, поисковая система BinaryEdge не распознала сервер Elasticsearch на этом порту. «В процессе мониторинга теневых форумов, где распространяют базы данных, был выявлен тестовый пример дампа сервера с логами доступа, к предположительно сервису Госуслуг для Ханты-Мансийского автономного округа. В ходе анализа тестового экземпляра, было установлено, что он получен из открытого индекса Elasticsearch-сервера, оставленного в свободном доступе из-за ошибки конфигурирования», — разъяснил Ашот Оганесян изданию «Коммерсантъ».Elasticsearch — это масштабируемый полнотекстовый поисковый и аналитический движок с открытым исходным кодом, позволяющий хранить большие объемы данных, проводить среди них быстрый поиск и аналитику. Таким образом, база персональных данных пользователей портала госуслуг в Ханты-Мансийском автономном округе с начала декабря 2019 года была открыто доступна в сети Интернет, причем часть этих данных успели скачать с сервера и эта информация даже оказалось выложена на одном из специализированных форумов, специализирующихся на утечках баз данных. Фактически, необходимые для закрытия канала утечки изменения в настройке сервера, расположенного на площадке «Ростелекома», были выполнены только 29 декабря 2019 года в 15.30 по МСК. Журналисты издания РБК обратились за комментариями в «Ростелеком» и Минкомсвязь, а также направили официальный запрос в пресс-службу администрации Ханты-Мансийска. На данный момент поступили такие ответы по данной ситуации от Минкомсвязи и «Ростелекома»: 1. В Министерстве цифрового развития, связи и массовых коммуникаций (Минкомсвязь) сообщили, что в настоящий момент все системы госуслуг данного региона работают в штатном режиме, а также начата проверка по факту выявления персональных данных пользователей вне защищенного периметра. 2. В «Ростелекоме» сообщили, что инцидентов, связанных с утечкой персональных данных пользователей единого портала госуслуг и единой системы идентификации и аутентификации, не выявлено. «Все подсистемы инфраструктуры электронного правительства функционируют в штатном режиме, данные пользователей надежно защищены», — заявили в «Ростелекоме». Представители «Ростелекома» также считают, что данный инцидент может быть связан с работой регионального мобильного приложения «Госуслуги Югры», разрабатываемого по заказу департамента информационных технологий и цифрового развития ХМАО и функционирующего автономно от портала госуслуг. Приложение размещается на технической инфраструктуре, предоставляемой ПАО «Ростелеком».

Информация о мобильном приложении «Госуслуги Югры»

«Госуслуги Югры» — это приложение для устройств под управлением Anrdoid, которое позволяет жителям Ханты-Мансийского автономного округа пользоваться государственными и муниципальными услугами в режиме онлайн. Приложение содержит в себе множество различных функциональных модулей, каждый из которых отвечает за определенный характер предоставляемых услуг. На данный момент приложение находится в стадии промышленного тестирования. Перечень доступных для получения услуг будет расширяться. Причем адрес службы технической поддержки данного приложения такой же, что и у региональной службы поддержки Портала госуслуг — support86@gosuslugi.ru. Также ранее была опубликована информация, что подобное мобильное приложение, но немного с другим названием («Госуслуги ХМАО») в 2017 году было разработано компанией «Ростелеком» совместно с Депинформтехнологий Югры.

Вот уже как много лет российские власти призывают всех жителей страны активно использовать такой сервис, как «Госуслуги». Он позволяет, как и можно догадаться из его названия, совершать через интернет самые разные действия, связанные с органами государственной власти. Так, например, можно подать заявление на перевыпуск паспорта, оформить документы для загранпаспорта, записать ребенка в школу, записаться к врачу и совершить множество других действий. Чтобы получить доступ ко всем этим возможностям нужно создать аккаунт и пройти идентификацию любым удобным способом, после чего станут доступны все возможности. В рамках данного сервисы хранятся паспортные данные, сведения о водительских правах, информация о военном билете, копии загранпаспортов, СНИЛС и многие другие документы, раскрывать которые посторонним людям ни в коем случае нельзя.

Тем не менее, к сожалению для всех россиян, в интернет слили личные данные 28 тысяч аккаунтов с государственного портала «Госуслуги». Они были похищены через опасную уязвимость, которая была обнаружена еще в начале декабря 2019 года, но лишь сейчас, 29 декабря, разработчики ее наконец-то закрыли. Из-за их нерасторопности данные о 27 тысячах учетных записей сервиса попали в руки третьих лиц, причем речь идет не просто о логинах и паролях для входа в учетную запись. О такой крупной утечке информации сообщил основатель DeviceLock Ашот Оганесян, который обнаружил ее на «теневых форумах», мониторингом которых он занимается для выявлением случаев «слива» личных данных каких-либо пользователей.

По предварительным данным, в свободный доступ попали учетные записи Ханты-Мансийского автономного округа, то есть у жителей такого теперь могут возникнуть вполне себе реальные очень значительные неприятности. Из-за ошибки конфигурирования, как отмечается, у сервера был открытый индекс Elasticsearch, в результате чего любые третьи лица могли получить доступ к приватной секретной информации, что какие-то хакеры и решили сделать. База данных содержит в себе персональные данные, включающие в себя адреса, фамилии, имена, отчества, номера телефонов и даже сведения о родственниках. Кроме того, помимо этого, в интернет попали токены для авторизации, в результате чего теперь злоумышленники могут быть труда использовать чужие аккаунты, делая это как со своими собственными.

Всем пользователям сервиса «Госуслуги», которых в теории могла затронуть такая утечка информации, стоит как можно скорее сменить пароль, потому что в противном случае могут возникнуть неприятные проблемы. Впрочем, конечно, поделать со слитой в интернет информацией уже ничего не получится, а она, что очевидно, является крайне ценной для телефонных мошенников, которые могут начать вымогать деньги под различными предлогами, ведь теперь третьи лица знают ФИО, адреса, номера телефонов и другие сведения, причем из самого достоверного источника из всех возможных – из государственного сервиса, где каждая учетная запись подвергается обязательной идентификации. Остается верить, что подобное в будущем уже никогда не повторится, пускай это и крайне маловероятно.

Ранее стало известно о том, как оформить ДТП через Госуслуги без участия сотрудников ГИБДД.

Присоединяйтесь к нам в GoogleNews, Twitter, Facebook, ВКонтакте, YouTube и RSS чтобы быть в курсе последних новостей из мира технологий будущего.

Наши персональные данные на портале «Госуслуги» находятся под надежной защитой: их никому не передают без нашего согласия. Но к их безопасности стоит подходить серьезно, даже если вы пользуетесь ими не очень часто. Ведь иногда злоумышленники могут получить доступ к вашему почтовому ящику или даже взломать личный аккаунт. Чаще всего это происходит из-за низкого уровня защиты и неосторожных действий самого владельца учетной записи.

Персональные данные пользователей портала gosuslugi.ru хранятся в Единой системе идентификации и аутентификации (ЕСИА). Это федеральная государственная информационная система, созданная для обеспечения санкционированного доступа участников информационного взаимодействия к информации, содержащейся в государственных информационных системах, муниципальных информационных системах и иных информационных системах. Данная система так же, как и портал госуслуг, аттестована по требованиям ФСТЭК на обработку конфиденциальной информации и персональных данных и реализована с помощью решений, прошедших сертификацию в ФСБ, что гарантирует полное соответствие требованиям законодательства РФ о защите персональных данных, в частности требованиям Федерального закона №152 ФЗо защите персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

Однако необходимо помнить, что безопасность определяется не только уровнем защиты портала, но и уровнем защиты вашего рабочего места, с которого осуществляется доступ. И если злоумышленник получит доступ к вашему аккаунту на «Госуслугах», он сможет действовать от вашего имени не только на самом портале, но и за его пределами. Речь идет не о мелких пакостях, а об очень серьезных вещах. Например, на вас могут оформить кредит. Или зарегистрировать на ваше имя фирму, проводящую сомнительные операции. Или распорядиться вашей собственностью на свое усмотрение.

Как защитить свой аккаунт

Портал «Госуслуги» предлагает несколько инструментов для защиты вашего аккаунта. Они также позволяют вам вовремя узнать о попытке взлома.

1. Используйте уникальный пароль

«Госуслуги» требуют от вас придумать длинный и сложный пароль, чтобы его было труднее подобрать. Однако сервис никак не может проверить его уникальность. Если вы воспользуетесь тем же самым паролем, которым защитили электронную почту и еще десяток аккаунтов на других сервисах, то утечка данных с любого из них поставит ваши документы под угрозу.

Поэтому для такого важного аккаунта, как на «Госуслугах», не только рекомендуется, но и жизненно необходимо придумать уникальный пароль. А чтобы вы не боялись его забыть, есть несколько советов по составлению и запоминанию паролей. Больше идей можно найти в статье про надежные пароли. И, конечно, всегда можно подстраховаться и сохранить его в менеджере паролей.

2. Включите оповещения о входе в ваш аккаунт Госуслуг

Если вы включите оповещения, то после каждого успешного входа вам придет письмо на электронную почту. Так вы узнаете, если кто-либо, кроме вас, получит доступ к аккаунту, и сможете своевременно поменять пароль. Чтобы включить уведомления о входе:

• Нажмите на свою аватарку и в открывшемся меню выберите Личный кабинет.
• На главной странице личного кабинета откройте вкладку Настройки.
• Нажмите Настройки безопасности.
• В блоке Оповещения о входе поставьте флажок Присылать уведомление на электронную почту.

3. Задайте контрольный вопрос

Контрольный вопрос — это дополнительная мера защиты от попыток посторонних сменить пароль от вашего аккаунта. Но стоит помнить, что контрольный вопрос не защитит вас, если ответ на него легко угадать или найти в Интернете. Важно, чтобы его знали только вы, причем могли в любой момент его вспомнить.

Чтобы задать контрольный вопрос:

• Нажмите на свою аватарку и в открывшемся меню выберите Личный кабинет.
• На главной странице личного кабинета откройте вкладку Настройки.
• Нажмите Настройки безопасности.
• Выберите Задать контрольный вопрос.
• Введите вопрос, ответ на него и пароль.
• Нажмите Сохранить вопрос.

4. Включите двухэтапную проверку входа

После включения двухэтапной проверки, чтобы войти в вашу учетную запись, злоумышленнику потребуется ввести не только пароль, но и одноразовый SMS-код, который придет на ваш телефон. Таким образом, вы будете в относительной безопасности, даже если ваш пароль украдут. Заодно вы вовремя узнаете о том, что пароль попал не в те руки, и сможете оперативно сменить его.

Чтобы включить двухэтапную проверку:

• Нажмите на свою аватарку и в открывшемся меню выберите Личный кабинет.
• На главной странице личного кабинета откройте вкладку Настройки.
• Нажмите Настройка безопасности.
• Выберите Включить двухэтапную проверку входа.
• Введите пароль от аккаунта и нажмите Включить.

5. Включите вход с помощью электронной подписи

Если вы пользуетесь квалифицированной электронной подписью, можно применять ее и для входа в аккаунт. Этот метод надежнее SMS-кодов: перехватить сообщение с одноразовым кодом проще, чем подделать подпись.

• Нажмите на свою аватарку и в открывшемся меню выберите Личный кабинет.
• На главной странице личного кабинета откройте вкладку Настройки.
• Нажмите Настройки безопасности.
• Выберите Включить вход с помощью электронной подписи.
• Введите пароль от аккаунта и нажмите Включить.

Если электронной подписи у вас нет, безопаснее отказаться от этой опции: без ЭЦП она бесполезна, а включая ее, вы теряете возможность получать коды через SMS.

Что еще важно знать

Как видите, настроек безопасности на «Госуслугах» не так много, и разобраться в них совсем не сложно. Кроме этого, чтобы защитить свои данные следуйте простым рекомендациям:

• Используйте на рабочем месте исключительно лицензионное программное обеспечение;
• Устанавливайте все необходимые обновления безопасности, рекомендуемые производителем программного обеспечения;
• Устанавливайте и регулярно обновляйте лицензионное антивирусное программное обеспечение, регулярно проводите проверку на отсутствие вирусов;
• Не загружайте программы и файлы из непроверенных источников, не посещайте сайты сомнительного содержания;
• Не заходите в личный кабинет портала госуслуг со случайных компьютеров, из интернет-кафе, либо иных непроверенных рабочих мест;
• Не сообщайте кому-либо ваш логин и пароль для авторизации на портале.

По материалам сайтов kaspersky.ru, gosuslugi.ru

Неизвестные выложили в открытый доступ данные 28 тысяч пользователей Госуслуг.

Основатель DeviceLock Ашот Оганесян утверждает, что соответствующая дыра в безопасности действовала с начала декабря. Закрыли её только сегодня пару часов назад. За все это время скачать информацию мог любой желающий.

В процессе мониторинга теневых форумов, где распространяют базы данных, был выявлен тестовый пример дампа сервера с логами доступа, к предположительно сервису Госуслуг для Ханты-Мансийского автономного округа.

В ходе анализа тестового экземпляра, было установлено, что он получен из открытого индекса Elasticsearch-сервера, оставленного в свободном доступе из-за ошибки конфигурирования.

— Ашот Оганесян

Причём среди слитой информации не только персональные данные (адреса, фамилии, имена и так далее), но и токены авторизации для доступа в личные кабинеты с мобильных устройств. [Коммерсантъ]

UPD 20.29: Ростелеком, на серверах которого размещена база пользователей Госуслуг, опровергает эту информацию:

Пресс-служба ПАО «Ростелеком» не подтверждает сообщения СМИ и сообщает, что инцидентов, связанных с утечкой персональных данных пользователей единого портала госуслуг и единой системы идентификации и аутентификации, не выявлено. Все подсистемы инфраструктуры электронного правительства функционируют в штатном режиме, данные пользователей надежно защищены.

? Хочешь больше? Подпишись на наш Telegramнаш Telegram. … и не забывай читать наш Facebook и Twitter ? iPhones.ru Брешь не закрывали целый месяц. —>

Артём Баусов

@Dralker

Главный по новостям, кликбейту и опечаткам. Люблю электротехнику и занимаюсь огненной магией. Telegram: @TemaBausov

Используемые источники:

• https://habr.com/ru/news/t/482394/
• https://akket.com/raznoe/196227-v-internet-vylozhili-28-tysyach-akkauntov-gosuslugi.html
• http://security.mosmetod.ru/paroli/161-kak-zashchitit-svoj-akkaunt-na-gosuslugakh
• https://www.iphones.ru/inotes/v-set-slili-dannye-28-tysyach-akkauntov-gosuslug-12-29-2019