Госуслуги взломали?

Автор: Александр Солодовников

Должность: Шеф

04.06.21

Некоторые пользователи портала Госуслуги из различных регионов страны заметили в течение мая несанкционированные доступы в их личные кабинеты...

Некоторые пользователи портала Госуслуги из различных регионов страны заметили  в течение мая  несанкционированные доступы в их личные кабинеты с IP-адресов Челябинского провайдера Интерсвязь. Первыми сообщили, об этом в материале “Мой аккаунт на «Госуслугах» взломали” еще 13 мая, затем стали появляться и другие сообщения. К нам же обратились в конце месяца, в те дни проходило голосование, великолучане выбирали общественное место, которое предстоит благоустраивать в городе в первую очередь. Пользователь с удивлением заметил, что его адрес прописки внезапно оказался не тем, который он оставлял, а изменился на адрес в Челябинске! С такой странностью, естественно, надо разобраться. Вот что увидел этот пользователь:



На скриншоте адреса 77.222.110.170 и 31.207.223.153 как раз из пулов, принадлежащих Интерсвязи. И с этих адресов, выделяемых провайдером абонентам, кто-то посторонний заходил в личный кабинет на Госуслугах 11 мая в 23:17 и 27 мая в 5:36.

Заметим, что несанкционированный доступ осуществлялся только в те личные кабинеты, которые не защищены двухфакторной авторизацией. Таким образом, можно предположить, что для входа использовались логин и пароль, зарегистрированные на Госуслугах, которые либо взяли из базы украденных паролей, либо подобрали путем перебора. Второе маловероятно, полный перебор, его еще называют brute force, система безопасности портала заметила бы.

Попав в личный кабинет, злоумышленники во многих случаях устанавливали  челябинский домашний адрес и разрешения на взаимодействие с программным обеспечением Центра обработки персональных данных Всероссийской политической партии  “Единая Россия”. Других действий, как мы видим, не было. Вероятно, вредить тому, кого взломали не планировали.

Ситуация выглядит весьма странно! Портал Госуслуги предоставляет вполне легальную и безопасную возможность взаимодействия со сторонними сервисами (с разрешения пользователя), поэтому совершенно непонятно, зачем было нужно массово входить в чужие личные кабинеты. Видимо, это как-то связано с партийными праймериз. Кто-то либо попытался схитрить на этих праймериз, либо доказывал, что нынешний вариант голосования через Госуслуги, мягко говоря, не очень надежен. 

В любом случае, чтобы избежать подобных инцидентов в будущем, мы рекомендуем включить двухфакторную авторизацию там, где это возможно и обязательно поменять пароли на более сложные. Хороший пароль содержит не менее 8 символов, среди которых должны быть цифры, буквы (и большие, и маленькие), а также специальные символы, например, & или !.

Если ваш личный кабинет подвергся вторжению, обратитесь в службу технической поддержки портала Госуслуги с просьбой расследовать инцидент. На странице "действия" в личном кабинете есть информация о дате, времени и IP-адресе несанкционированного входа, а вот уже найти злоумышленника - дело техники. Кстати, “Единая Россия” сообщает, что подала заявление в полицию.

Мы надеемся, что поддержка портала Госуслуги и компетентные органы подробно разберутся в ситуации и прояснят, что на самом деле произошло.