Пользователи «Госуслуг» пожаловались на взлом личных кабинетов: что произошло и как от этого защититься
Ворованный аккаунт
Несколько пользователей соцсетей 13 мая пожаловались на взлом аккаунтов на сайте госуслуг. Первой об этом сообщила в своем Facebook Диана Забелина. Она рассказала, что 12 мая получила СМС-уведомление о том, что ее номер телефона на сайте gosuslugi.ru был изменен и больше не может использоваться для входа в аккаунт. Забелиной удалось войти в личный кабинет и привязать прежний номер телефона.
С помощью кнопки «действия в системе» на «Госуслугах» Забелина выяснила точное время, когда мошеннику удалось попасть в ее личный кабинет. В нем появилось уведомление, что Забелина якобы разрешила сервису «Центр обработки персональных данных «Единой России» использовать все свои данные с «Госуслуг». «Конечно, я этого не делала», — подчеркнула Забелина в своем посте.
Пострадавшая сообщила, что на «Госуслугах» у нее хранятся электронная подпись, с которой можно проводить любые операции с недвижимостью, данные паспорта, номера ИНН, СНИЛС, ДМС, ОМС, данные банковских карт, копии и оригиналы заявлений в госструктуры, где указаны личные сведения. «Возможно, вскоре я прочувствую на себе, чем грозит слив всех данных и документов в третьи руки», — написала она.
Злоумышленник, который зашел в профиль «Госуслуг», мог видеть все загруженные в аккаунт сканы документов и воспользоваться ими, подтверждает эксперт по информационной безопасности Cisco Systems Алексей Лукацкий. С их помощью можно и открыть кредит, и зарегистрировать номер телефона; кроме того, их можно продать в даркнете, говорит он.
Оператор сайта госуслуг в ответ на рассказ Забелиной о происшествии и просьбу «заблокировать аккаунт» или «насильно прервать все активные сессии» сказал, что «сессия у мошенника автоматически прервется через 24 часа», и пообещал составить обращение в техподдержку, говорится в посте.
В комментариях к посту Забелиной в Facebook и к публикации на сайте vc.ru несколько пользователей рассказали, что их аккаунты на «Госуслугах» взломали на днях таким же образом. Пользователь vc.ru Константин Данилов написал, что «кто-то посторонний зашел в его аккаунт, а затем с него на сайт «Единой России». Данилов опубликовал скриншот с действиями злоумышленника — на нем видно, что хакер также воспользовался сервисом «Единой России» через «Госуслуги». Другой пользователь, Андрей Кинтюхин, пожаловался на то, что на «Госуслугах» и на сайте «Единой России» некто недавно поменял адрес его прописки. Данилов и Кинтюхин не ответили на запрос Forbes.
Власти задумались о возможности оформлять личное банкротство через «Госуслуги»
Информационная атака
Спустя день после поста Забелиной «Единая Россия» прокомментировала инцидент.
Партия сообщила, что обнаружила попытки использования «ворованных аккаунтов» в процессе регистрации избирателей на предварительное голосование. Таким образом хакеры хотят поставить под сомнение легитимность процедуры предварительного голосования, говорится в сообщении.
Сайт предварительного голосования не взламывали, заявил Forbes руководитель IT-проектов «Единой России» Вячеслав Сатеев. По его словам, взлому подверглись только аккаунты пользователей на сайте госуслуг. «Речь идет об информационной атаке [на «Единую Россию»]», — считает он. Сначала у людей украли аккаунты, а потом злоумышленники использовали их для регистрации на сайте предварительного голосования, как если бы это сделали сами пользователи, добавил Сатеев. Он рассказал, что «Единая Россия» сообщила о случившемся в правоохранительные органы. «Если владельцы аккаунтов также направят свои заявления о неправомерном использовании, можно будет провести детальный анализ этой ситуации», — полагает Сатеев.
Руководитель IT-проектов «Единой России» также рассказал, что партия пользуется услугами ряда компаний по кибербезопасности для своей защиты, он назвал их «лидерами рынка», но отказался раскрыть конкретных игроков. «Основная методика, которую мы применяем (и она показывает хорошие результаты), — это когда специалисты проводят попытки взлома наших систем или вывода их из строя», — отметил Сатеев.
Исходя из сообщений о взломах аккаунтов сайта госуслуг, они происходили во время тестирования по использованию дистанционного электронного голосования — с 12 по 14 мая. Это тренировка перед реальными выборами в Госдуму, которые пройдут в сентябре 2021 года. В части регионов голосование пройдет в онлайн-формате.
В мае сразу несколько региональных СМИ сообщили о появлении сайтов, рассылок в соцсетях и листовок с призывом зарегистрироваться через «Госуслуги» на некое электронное голосование и получить за это 500 рублей. На деле это оказывалась регистрация на праймериз «Единой России». В местном отделении «Единой России» причастность к объявлениям отрицали.
Политический активизм с использованием хакерских методов появился еще в 90-х, но активно развиваться стал в начале 2010-х, рассказал коммерческий директор компании «Код безопасности» Федор Дбар. Ресурсы политических партий могут быть взломаны и использованы как промежуточное звено для атаки на аккаунт жертвы, а сама атака — использоваться для дискредитации политических сил, объясняет он. «Но узнать точно, откуда был произведен взлом — сложнейшая задача», — сетует Дбар.
Кто виноват
Мошенники смогли попасть в личный кабинет потерпевшей, имея на руках ее логин и пароль, говорит начальник отдела информационной безопасности «СерчИнформ» Алексей Дрозд. По его словам, от такого взлома могла бы защитить настроенная двухфакторная аутентификация (у Забелиной ее не было).
«Потерпевшая пишет, что у нее был установлен сложный пароль, но очень вероятно, что он использовался где-то еще в полном или похожем виде», — подчеркивает Дрозд. Некоторые пользователи модифицируют свой пароль для разных сервисов, добавляя символы в начало или конец основной комбинации, говорит он. Забелина в разговоре с Forbes не смогла вспомнить, использовала ли она пароль от «Госуслуг» на других сайтах.
Скорее всего, логин и пароль пользовательницы утек с другого ресурса или его подобрали перебором, что позволило выполнять злоумышленнику любые действия с ее аккаунтом, согласен эксперт по информационной безопасности Cisco Systems Алексей Лукацкий.
Каким мог быть масштаб взлома аккаунтов, знают только в самих «Госуслугах», говорит начальник отдела информационной безопасности «СерчИнформ». Если злоумышленники действительно использовали данные из утечки или применяли метод перебора паролей, то вывод о числе скомпрометированных пользователей можно сделать на основе статистики, считает Дрозд. Согласно опросу компании по кибербезопасности Avast, 55% российских пользователей используют одинаковые пароли для разных аккаунтов, хотя 94% знают, что это опасно. «То есть масштаб взлома мог быть существенным», — резюмирует эксперт.
«В даркнете я ни разу не видел утечек с «Госуслуг», что говорит о неплохой защите сайта или о том, что эти данные никому не нужны, что маловероятно, потому что данные там достаточно ценные: иногда есть привязанные кредитные карты, чтобы оплачивать штрафы — информация для злоумышленников интересная», — отметил Лукацкий.
Уже после огласки инцидента Забелина получила письмо от службы поддержки «Госуслуг» (Forbes ознакомился с ним). В письме говорится, что никто не запрашивал восстановление пароля к ее аккаунту — другими словами, на сайт под логином и паролем Забелиной зашел другой человек, IP-адрес его устройства зарегистрирован в Ростове-на-Дону. У сайта госуслуг нет технической возможности установить, кто именно это был, говорится в сообщении. Представитель Минцифры рассказал Forbes, что Забелина получила «исчерпывающую консультацию», в том числе служба поддержки «Госуслуг» рекомендовала ей использовать «усиленную аутентификацию и установить контрольный вопрос» для входа в свой аккаунт.
«Будет только хуже»: миллиардер-айтишник предупредил, что хакеры могут взломать все — даже лампочки
Как защититься
Опрошенные Forbes эксперты по кибербезопасности рекомендуют:
- использовать сложные пароли, уникальные для каждого сервиса;
- никому не передавать пароли и не использовать для их хранения непроверенные инструменты: не записывать их на листках бумаги, в файлах, доступных другим пользователям, и т. д.
- использовать двухфакторную аутентификацию во всех приложениях и на всех сайтах — например, с применением второго фактора в виде SMS-кода, который необходимо ввести после ввода стандартного пароля;
- периодически проверять, не скомпрометированы ли электронная почта, номер телефона или пароль с помощью сервисов наподобие Haveibeenpwned;
- если злоумышленники получили доступ к хранящимся на «Госуслугах» документам, можно отслеживать информацию о себе в таких сервисах, как nalog.ru, или использовать специальные приложения: они позволят фиксировать, когда на ваши паспортные данные кто-то оформил кредит, компанию или получил имущество.