Про государственную безопасность

Если что, речь пойдет о безопасности Госуслуг. Простите за кликбейт в заголовке. Я гражданин Российской Федерации и у меня есть учетная запись в Госуслугах. Она есть у всех, просто не все получили пароль от нее. В конце концов – это ведь просто интерфейс к государственным базам. Все паспорта, номера мобильных телефонов, адреса и места работы, движимое и недвижимое имущество, доходы, расходы – не только наши, но и всех родных и близких – записаны где-то в базах данных министерств и ведомств.

На первой странице самого официального сайта в российском интернете написано, что все эти данные защищены по самым высоким требованиям к защите информации. Не придираясь к этому и не ссылаясь на скандальные утечки в даркнет, предлагаю подумать о самом слабом звене – человеческом факторе. Госуслуги доступны всем – значит, кто-то наверняка захочет получить данные о ком-то другом.

С соблюдением требований в Госуслугах все хорошо. Есть СНИЛС, который однозначно идентифирует пользователя, есть пароль, который нужно хранить в тайне, и дополнительная защита – коды подтверждения в СМС, ссылка в электронной почте, специальные генераторы одноразовых кодов. Но! – при потере их доступ все равно можно восстановить и именно эту лазейку используют многочисленные мошенники. Ибо там запрашивается что-то из общеизвестных данных пользователя… и код из СМС, который так стремятся выведать у доверчивых граждан под видом нового кода домофона или кода электронной очереди. Вместо единственно верного способа восстановления доступа в виде визита в МФЦ, где пользователя заодно и верифицируют по его бумажному, защищенному всеми знаками от подделки, паспорту.

Настоящая проблема, на самом деле, в другом.

Общеизвестно, что самое слабое место в системе в его самом слабом звене. А именно, в mail.ru, который Госуслуги продвигают в качестве рекомендуемой замены иностранным почтовым сервисам. А mail.ru – это еще и довольно тесная интеграция с VK. И теперь связка “Госуслуги – Mail.ru – ВКонтакте” стала, по сути, чем-то единым. Мы получаем информацию от государственных служб в социальной сети, мы заходим в почту через VKID и подтверждаем свою страницу через Госуслуги. Слишком много дверей ведут к самой важной информации. Это тревожит.

Теперь поговорим о Mail.ru.

Мой ключ к Госуслугам это почтовый ящик и его я тоже хочу обезопасить. Что же я вижу? Для входа в почтовый ящик достаточно ввести одноразовый код из СМС. И это – на секундочку! – вход не в сам почтовый ящик, а в VKID, то есть одновременно и во Вконтакте. А в VK есть возможность завести собственный почтовый ящик в @vk.com. Чтобы сократить количество точек входа, я попробовал использовать ящик @vk.com в качестве основного адреса и… “нельзя использовать этот адрес, чтобы не потерять доступ одновременно к странице и к почтовому ящику”. Звучит логично, да. А @mail.ru можно. Хотя он авторизуется через тот же VKID. Тогда почему нельзя-то?

В итоге, чтобы защитить самые важные данные, необходимо защитить учетные записи одновременно в Госуслугах, ВКонтакте и Mail.ru. Да, можно добавить второй фактор на Госуслугах и в VKID (а это и mail.ru тоже), но они отключаются все теми же СМС-ками или звонком-сбросом. Ну, то есть с помощью телефона (обязательного везде!) можно пройти как нож через масло куда угодно. Наплевав на все прочие средства защиты. Неплохо, да?

Начав однажды копать, остановиться сложно. Выстраивая векторы атаки, я всерьез задумался. Теперь я просто процитирую “День выборов” и умою руки, а вы подумайте. “Дальше не придумали, импровизируй”.