Может ли быть уязвимость в дизайне, контенте и CSS и разбор такой уязвимости(?) на Госуслугах

Кажется, что уязвимость - штука техническая, но на Госуслугах есть интересная комбинация уязвимостей (ну или, скажем, черт, особенностей) в сфере CSS, дизайна, юзабилити, которые мошенники используют в социальной инженерии. Узнал я про это из вот этого ролика на ютубе -...

Все блоги / Про интернет

Какими приключениями грозит невключенная двухфакторная авторизация на Госуслугах

Я был достаточно неосмотрителен, чтобы эта история произошла со мной, но, возможно, достаточно технически грамотен, чтобы рассказать ее детали, сдерживая эмоции и понимая, что происходит, в отличии от большинства людей, оказашимихся в этой ситуации еще и с ощущением полного неведения. Когда...

Все блоги / Про интернет

Что может сделать злоумышленник зная пароль от Госуслуг

На днях один мой знакомый получил звонок от работника ФНС с целью уточнить некоторые данные по декларации 3-НДФЛ на возврат бюджетных денег за лечение. Удивлению не было предела: мало того, что декларацию эту он не подавал (!) так и возврат уже был проверен и одобрен (!!), возврат средств...

Все блоги / Про интернет

О QR-кодах и социальной инженерии

Привет, Хабр. В этом посте я хочу немного рассказать о том, как люди пытались дурить систему ковидных QR-кодов в России. Часть методов общеизвестна, часть — не так популярна, некоторые векторы атаки открыты до сих пор, разве что актуальность уже не та. За скобками останется совсем уж криминал вроде...

Все блоги / Про интернет

Сертификат COVID-19 не найден: Почему на самом деле перестали работать QR-коды о вакцинации

Как нас обманывает Минцифры и Ростелеком и почему теперь нужно заново генерировать сертификаты COVID-19 Читать далее...

Все блоги / Про интернет

«Безопасность» Госуслуг: пока кто-то развенчивает мифы, вот вам реальность

А вы знали, что электронная подпись юридического лица дает возможность заходить на "Госуслуги" частного лица и .... делать почти все, что угодно (в рамках возможностей ЛК), например, смотреть личные данные (недвижимость, обращения, заявления, налоги) и т. п.? А что в Ваш личный кабинет на...

Все блоги / Про интернет

QR за QR: новый принцип безопасности социальных взаимодействий

Ходил я давеча на оффлайн-конференцию. На входе меня попросили показать QR-код и паспорт. Все прошло хорошо, однако, вопрос: “а кто вообще, эти люди, которым я должен показать свой основной документ, свои персональные данные?”, меня не оставил. Желающие узнать как я пришел к идее «протокола»...

Все блоги / Про интернет

Госуслуги, уязвимость сессии

С августа 2021 года (по информации знакомого, работающего в гос.центре) на портале госуслуг (далее ЕПГУ) ввели ограничения/усложнения на самостоятельную привязку мобильного номера телефона к действующей, подтвержденной учетной записи пользователя. Подобными действиями увеличив на сотрудников...

Все блоги / Про интернет

Минцифры: в ближайшее время пользователи Госуслуг получат доступ к электронным медкартам

Россиянам откроют доступ к электронной медкарте на "Госуслугах", сообщает ТАСС со ссылкой на главу Министерства связи и массовых коммуникаций России Максута Шадаева. Также в России планируют внедрить сервисы телемедицины и такие новые технологии, как датчики постоянного мониторинга состояния...

Все блоги / Про интернет

Взлом госуслуг: мифы и реальность

В последнее время в СМИ обсуждаются множественные случаи взлома портала "Госуслуги". В этой статье я постараюсь выяснить что из этого миф и выдумки, а что является правдой, а для этого придется самому взломать госуслуги. Взломать госуслуги...

Все блоги / Про интернет

Социальные сети оказались безопаснее порталов государственных услуг

Мы протестировали порталы государственных услуг по новым методикам, оценивающим надежность HTTPS-соединения с ними и уровень защиты от XSS, а также сравнили их с сайтами соцсетей, банка, транспортных и сервисных компаний. Результат в чем-то предсказуемый (с безопасностью электронных госуслуг все...

Все блоги / Про интернет

Рутокен ЭЦП 2.0 3000, COVID-19, УЦ Росреестра и операции с Росреестом онлайн ver. 2.0

Привет, хабровчане! К написанию данной статьи меня подтолкнули сразу несколько вещей: Должок перед компанией «Актив», которая любезно предоставила мне их новый крипто-токен Рутокен ЭЦП 2.0 модификации 3000. Nastya_d, тэгну вас, т.к. вы последняя, кто постил от лица компании COVID-19, который...

Все блоги / Нетбуки и Планшеты

Цены российского черного рынка на пробив персональных данных (плюс ответ на ответ Тинькофф Банка)

В конце прошлого года я делал обзор цен черного рынка на российские персональные данные, и вот пришло время его обновить и дополнить. Заодно посмотрим изменение цен и предложений на этом «рынке», а также реакцию «Тинькофф Банка» на вот это вот все. Поехали... Читать дальше →...

Все блоги / Про интернет

Опять сотни тысяч платежей граждан в ГИБДД и ФССП находились в открытом доступе

Помните я писал на Хабре и у себя в Telegram-канале, как в открытом доступе оказались подробности платежей в пользу ГИБДД и ФССП пользователей сайтов оплатагибдд.рф, paygibdd.ru, gos-oplata.ru, штрафов.net и oplata-fssp.ru? Только не надо смеяться, это вовсе не шутка — тот же самый сервер с данными...

Все блоги / Про интернет

Сотни тысяч платежей граждан в ГИБДД и ФССП находились в открытом доступе

Медицинские данные – были, данные по кредитам – были, на этот раз пришла очередь данных по платежам за штрафы ГИБДД и задолженности по исполнительным производствам службы судебных приставов. Хорошая новость в том, что эти платежи не связаны с официальным сайтом Госуслуг. Плохая новость – данных...

Все блоги / Про интернет