Госуслуги такие госуслуги

Да уж, вот это вот, Ну у нас так сделано, и по другому не могем, эпик конечно.
Ладно. с этим понятно, хотели как лучше(если хотели...), получилось как получилось, и всем н*****ь.
Другой вопрос возник, толком не понял, о чем там, вот к примеру, являюсь пользователем госуслуг, самодин как частное лицо, никаких подписёв не оформлял, не надо оно мне, так вот какая нить другая редиска с этой самой подписью, не может невзначай ко мне в кабинет влезть?

 

https://мояподпись.рф/vse-etsp-vidny-na-gosuslugah/

 

Читал. А что в статье должно смутить?
Там правильно ответили. ЭЦП выдается на физика, и неважно как личная ЭЦП или как ЭЦП с атрибутами юр.лица. И потому такая ЭЦП даст доступ к личным данным физика. Это не проблема госуслуг, это проблема нашего законодательства. Если ЭЦП оказалась у третьего лица (неважно по собственной воле или украдена) эта ЭЦП считается скомпрометированной. И это уже совсем иной вопрос. Моя ссылка в первую очередь - гайд как себя периодически проверять на предмет выпущенных ЭЦП.

 

ну как бы да. но тут есть такой момент: выпускать ЭЦП можно через многие удостоверяющие центры, а там при оформлении ЭЦП можно указать мыло отличное от того что указано на госуслугах. По крайней мере раньше когда я выпускал ЭЦП через сервис "Контура" там мыло было одним из реквизитов, но это правда и было лет 10 назад, может что и изменилось. Через госуслуги именно не выпускал ни разу и тут уже не скажу.

 

Для "одаренных" ФЛ поясните, пож, если я не оформлял ЭЦП, то меня эта тема не касается?..

 

она касается любого в наше время. чтобы получить ЭЦП требуются сканы паспорта, снилса (опять же опираюсь на инфу 10-летней давности но думаю мало что изменилось в регламенте) и пройти процедуру выпуска в удостоверяющем центре. То есть по факту злоумышленник имеющий живые сканы может это сделать минут за 30 при наличии желания

ну она в базе появится, само собой. я почему ссыль и дал. но вот я реально не уверен что в ГУ настроено уведомление о появлении ЭП в профиле. я об этом

 

Ну далеко не любой имеющий сканы это может, требования к выдаче ЭЦП - личное получение, с 1го января требования станут еще строже, тут вопрос к УЦ будет.

ЭП на юридическое лицо по факту является ЭП физического лица только с проставленным ОГРН. Организации в первом посте появились в списке только потому что физическое лицо в них зарегистрировано через госуслуги, к ЭП отношения никакого не имеет, точно такое же он увидит если откроет госуслуги через логин/пароль.

К тому же ЭП является конфиденциальной информацией передача третьим лицам строго запрещена.
И да уведомления при выпуске сетификатов приходят на госуслуги сейчас.

 

Хэх..
В одной знакомой бюджетной организациигода три назад от сотрудников потребовали "всем срочно оформить аккаунт на госуслугах", "отчитаться делопроизводителю и сдать ему логин-пароль "..
В Мск-области в прошлом году, когда в разгар пандемийных новаций завернули гайки таксистам и срочно-бегом-прыжками пришлось оформлять самозанятость, агрегаторы, в ответ на шквал вопросов от водителей, "чтоб ускорить" оформление этого всего - отправляли в конкретные фирмочки, оказывающие услуги по регистрации , которые - тоже "чтоп ускорить и порешать всё по телефону и не ехать к нам из вашего Раменского в наш Нарофоминск"- по этому же самому телефону предлагали "давайте нам на время лог-пароль от госуслуг и мы вам всё быстро-быстро сделаем"..
некоторые реально давали)))

 

оформлял продление разрешения на оружие, менты так же потребовали логин-пароль госуслуг "для заполнения завяления, сами вы не сможете", и никак иначе. Дикие люди.

 

в первую очередь. пока кто-то её вместо тебя на тебя не оформил и дел не навертел

на самом деле, ГУ, ЭП или не ЭП тут не принципиально. это просто способ мошенничества используя этот инструмент. аналогично как с доверенностями-нотариусами. юридически, как бы невозможно без тебя оформить доверенность, а практически, это таки как-то иногда случается. и потом попадает в новости и сводки.

 

Эти же некоторые и деньги перечисляют по звонку "СБ Сбера" или "следователя СК". Если человек *****, то никто кроме него, в этом не виноват.

 

Дикие, но, на всякий случай, login и pass дал им?...)

 

Ну а куда деваться, сроки горели, и так со штрафом оформлял. Прикинулся дураком и сказал, что двухфакторную авторизацию не знаю, как снимать, звоните, когда надо будет войти

 

в опщем, опять раздули из мухи слона

 

Мне приходило. Несколько раз выпускал ЭЦП в последнее время - оперативно оповещение падало на почту

 

что-то слышал где-то слышал от кого-то слышал... ссылку выкладывай на судебные прецеденты

 

сказки...

 

bad news
Исходный код Госуслуг утёк в сеть
Взлом Госуслуг: утечка исходного кода
***кхм*** разработчики оставили каталоги .git на поддоменах *.mos.ru в открытом доступе и хакер Владислав Хорохорин успешно всё оттуда выкачал. Архив с исходниками весит 7 гигов — там сами госуслуги и сертификаты ЕСИА.
Администрацию Госуслуг предупреждали об уязвимости и раскрыли все её детали, но ответа не последовало.

 

было, было. по новостям пролетало, и потом на хабре статья с разбором была. по ключевым словам нагуглится без проблем.

это даже хорошо. пройдет независимый аудит, так сказать

 

кошмар...
но верится с трудом.

 

что было то? там везде блаблабла в энной степени и хату москвич вернул через суд

 

А при чем тут Госуслуги?
мос.ру - это портал госуслуг города Москвы. Конечно то же госуслуги, но локальные, для Москвы.

 

почитайте сылку на хабр - там на пальцах объяснено "при чем".
"Для тех, кто всё-таки силён в IT :
1) имея на руках открытый код гораздо проще исследовать и тестировать уязвимости. 100% безопасного кода в таких огромных проектах не бывают, так что с высокой долей вероятности что-то, да найдут;
2) при помощи утекших сертификатов можно проводить фишинговые атаки и похищать ваши данные. Пока непонятно, успели ли сертификаты отозвать и заменить, так как времени с момента публикации прошло совсем немного, а Госуслуги обрадовали наличием уязвимости в 4 часа утра на выходных."