Хакеры научились взламывать аккаунты на «Госуслугах» и оформлять на жертв кредиты

На почту регулярно приходя сообщения о том, что кто-то пытался войти в мой аккаунт на твиттере(не пользуюсь им как только его заблочил ркн), все никак не зайдут.

интересно .. а госуслуги и банки вы оповещаете что перепродаёте номер другому лицу?

а то на номер сейчас завязано многое..
иначе как считать ваши действия с номером как не мошенничество? то есть "вы" потворствуете созданию условий для процветания мошенников.

Предположим - человек скончался - у этого человека всё было завязано на номер.
пока идёт полугодовое вступление наследования. (может еще и суды)
У "вас" наступает критические дни ( типа прибыли уплывают) срочно изымаете номер и тут же перепродаёте его (весьма кстати странно - что такие номера почему то влёт уходят) а мошенники используя этот номер начинают уже свою игру - вплоть до вывода средств из онлайн кошельков и счетов.

Так что я неправ?

Это сообщение отредактировал dx69 - 6.07.2023 - 10:57

Она сотрудница банка и она наёбывает людей по всем пунктам, бумеранг сработал и её наказали, всяк быдло должно быть наказано и не важно как!

а разве не приняли закон, запрещающий брать кредиты через госуглуги?

Двухфактор там для нормальных.
Остальным-штрафы))

Как тебе поможет брутформ при двухфакторке?

Обычно алгоритм - звонок из службы безопасности - отсыл в пешее эротическое - летят смс о попытке входа на госуслуги.

Чушь частичная.
2ФА разве что через приложение, потому что через смс - ещё небезопаснее, так как успешные взломы делаются именно через потерянный\украденный телефон, поэтому смс придёт гарантировано, а google auth потребует ещё один пароль, а вот если потерял телефон, то тот ещё гемор быстро восстановить номер. Особенно если он старый и оформлен на жену\маму\кого-то ещё, когда не нужно было паспорта предъявлять.

14 символов пароль, который ещё и часто менять - полная чушь. Паролей должны быть 2-3 штуки, они должны быть в голове. Сложность пароля увеличивается за счёт применения спец. символов куда лучше, чем за счёт длины. Потому что пароль из цифры длиной 14 штук это 10 в 14 степени, а пароль из букв + цифры уже 43 в 14 степени.
И сложность пароля больше 8 символов просто не нужна, потому что, что 8, что 14 что 256 символов ломать будут миллион лет брутфорсом.

В то же время такой длинный и плохой пароль будет храниться на бумажке, в телефоне, в файле на компе и свой задачи выполнять не будет. Ещё хуже - онлайн хранилище паролей типа LastPassword которое подходит разве что для обычных сайтов.
Так что пароли нужно только запоминать, поэтому их НЕ ДОЛЖНО быть много. 2 пароля простых, для всяких сайтов. Один сложный, один очень сложный для банков и госуслуг. Всё!
Можно придумать для себя алгоритм и по названию сайта + своему имени делать пароль: yaplakalArtivenom

Это сообщение отредактировал artivenom - 6.07.2023 - 11:37

Спасибо! А как часто нужно пароль менять?

Хакеры хуякеры

Размещено через приложение ЯПлакалъ

Когда ты сообщаешь кому-то об уязвимости на портале, то раскрываешь себя. Теперь ФСБ знает что есть такой кулхацкер Васян, который настолько крут что может даже Госуслуги взломать. Его ставят на карандаш и если вдруг кто-то что-то взломает - придут в первую очередь к таким добрым "белошляпникам" как Вася (white hat - "хорошие" хакеры, black hat - "плохие").

С вознаграждением, в прочем, тоже могут кинуть.

В любом случае это будет одноразовая награда. Эксплуатируя уязвимость можно поднять сильно больше денег. Незаконно, аморально, но сильно больше.

Это сообщение отредактировал Завтрамэн - 6.07.2023 - 12:10

У меня аккаунт еще не уводили, но пару необъяснимых особенностей тоже могу рассказать.
В настройках включен двухфактор, т.е., должна приходить смска для входа в приложение, но вход осуществляется только по отпечатку пальца. Поддержка тут никак не помогла. Но уведомление о том, что в аккаунт осуществлен вход, приходит без асечек.
После входа в приложением и выхода из него кнопками "назад" фактически выхода не происходит (как с банковскими приложениями или приложением Япъ, например), приложение просто сворачивается. А при повторном открытии отпечатка уже не требует, открывается уже аккаунт. По ответу поддержки срок жизни пользовательской сессии составляет 3 часа (!). Надо либо выходить из аккаунта в приложении, либо выгружать приложение из памяти после выхода.
Такие дела.

Пользовался сим-картой Теле2 в Подмосковье, специально там покупал, для работы. Перестал ездить, симкой дома пользовался год, никто не звонил и не спрашивал, почему она в Саратовской области, пока сам не заблокировал её за ненадобностью. Позвонили из Теле2 после блокировки, сказали, что в течении полугода могу вернуть номер себе обратно

Я просто похлопаю антифрод-менеджерам этой дырявой системы под названием и "Госуслуги". Не нужно ничего взламывать, подбирать ключи. Оставь "бэкдор" в системе - и хоба! Воруй, убивай, еби гусей.
Про риск-менеджмент банков говорить нечего. Скоро с вертолета на головы сбрасывать будут. Театр абсурда.

Пароль не нужно менять вообще, достаточно для важных сервисов иметь просто иметь уникальный сложный пароль (цифры, буквы в нижнем и верхнем регистре, спец. знаки) и нигде больше этот пароль не использовать.

Двухфакторка + такой пароль решат все проблемы с безопасностью.

Никто пароли не угадывает, т.к. обычно дается 3-5 попыток на вход, после чего аккаунт блокируется. Пароли уводят с менее защищенных сайтов, т.е. люди часто используют один пароль для всех сайтов и тем сами себя подставляют.

Это сообщение отредактировал Katarhey - 6.07.2023 - 13:01

У меня через госуслуги бывший сослуживец добровольцем записался. Отправили проходить ВВК. Всё равно по здоровью бортанули. В "вагнера" тоже не взяли. Ему сейчас 58. Афган, Фергана, Ош, Карабах, Таджикистан, две Чечни, Югославия, Цхинвал-2008, Крым-2014, Донбасс-2014.
Армейский капитан, ментовской подполковник.

Размещено через приложение ЯПлакалъ

мне звонил такой. Дошли с ним до кода сброса пароля. Я ему говорю: Код не назову. Тут в СМС прямо сказано "никому не называйте код". А вы кто? Сотрудник портала? То есть - кто-то? Так сказано же - ни-ни. Как оно орало, это песец.

Госсайт не хлебушек. Брутфорс закончится не начавшись. Так как там стоит ограничение на кол-во попыток входа.

тут разговор не отом как взломали и как защитится. и гадать не нужно, разные способы взлома есть в том числе и слив данных самими сотрудниками Госуслуг

тут разговор о том как легко взять кредит без ведома самого человека

несколько лет назад это в 96 году?

Не, не так: те, кто сами не перевелись на двухфакторку просто прекрасно осознают, что сохранность пароля контролируют они лично и его вполне достаточно как для обеспечения доступа, так и для его надёжной защиты. А всякие дополнительные опции вида кода в смс на номер телефона, который оператор может продать из-за неактивности или ОТП в виде приложения на устройстве, которое в большинстве случаев намертво привязывается к этому устройству даже при заявленной возможности переноса это всё лишние сущности, которые добавляют проблемы владельцу учётки при их утере/утрате. Регулярно обновляемый пароль в качестве защиты от утечек базы самих госуслуг вполне достаточен. Остальное - костыли.

Это сообщение отредактировал PsiOperator - 6.07.2023 - 16:17

Как человек прошедший через это могу сказать, что в 2021 году была слита база логопассов госуслуг, и люди не включившие двухфакторную аутентификацию попали. В итоге кредит в микрофинансовой организации на несколько тысяч у меня, благо по суду все отменил, осталось вернуть то что было снято с карты и все расходы по суду, но это дело времени. У людей по несколько кредитов в нескольких организациях, вот там реально задница все отменить и вернуть.

Государство опять обосралось.

номер дела сказать можешь7 ну что бы посмотреть по базе судов?
просто вот у меня нет двухфакторной авторизиции, но что то я не попадал ни на какие кредиты в 21 году.
Хотя мне что то подсказывает, что ты просто промолчишь и не ответишь. Ибо номера дела у тебя нет, и доказывать свое пиздабольство ты явно не собираешься. Тебе же главное за коммент денежку получить

Это сообщение отредактировал Yarmal - 6.07.2023 - 20:24

Проще не пользоваться таким Г где нужно постоянно что-то менять

Размещено через приложение ЯПлакалъ