Как я нашел дыру в системе безопасности сайта госуслуги.рф

    По роду своей профессиональной деятельности мне часто приходится давать различного рода экспертные оценки для СМИ о кибер-атаках и безопасности компьютерных систем. Совсем недавно мне позвонили из «Голоса России» и попросили прокомментировать безопасность портала Госуслуги.рф. Привожу цитату:

    «Россия автоматизирует процесс документооборота, что повышает ее конкурентоспособность в глазах других государств. Поэтому безопасность портала государственных услуг является ключевым понятием. Необходимо обеспечить систему, которая повышала бы конфиденциальность информации на техническом, административном, организационном уровнях. Нужна комплексная система защиты, которая будет работать постоянно». Ссылка: rus.ruvr.ru/2010/06/03/9011959.html

    После моего разговора с журналистом, мне самому стало интересно, насколько система безопасности сайта отвечает возложенным на нее требованиям. И я решил зарегистрироваться под чужим именем. Описываю дальнейший алгоритм моих действий.

    1.Для получения доступа к порталу, скажем от лица Иванова Ивана Ивановича нам необходимо:
    — ИНН Иванова И.И.
    — Страховое свидетельство государственного пенсионного страхования
    — Регистрационные данные Иванова И.И. – причем эти данные не проверяются и поэтому можно указать любые, главное, чтобы после прихода письма на этот адрес вы смогли бы его получить.
    Для этих целей, покупаем «серую» базу данных по ИНН и пенсионным страховым свидетельствам на любом рынке типа «Горбушки», «Совка», «Митинки». В принципе, на каждом перекрестке, пока вы стоите в пробке, к вам обязательно подбегут и предложат подобного рода базы. Купив ее, регистрируемся на портале госуслуги.рф

    2. Последним этапом регистрации, является получение заказного письма на указанный ранее адрес и введение кода в соответствующее окно регистрации, который указан в письме. Как оказалось, на этом этапе и скрывается самая явная угроза во всей системе безопасности, а именно – человеческий фактор! Львиная доля сотрудников почты никогда не проверяют паспорт! В моем случае, как видно из представленного ниже видео, спросили – «Паспортные данные заполнили?»! И все!



    Таким образом, любой желающий может зарегистрироваться используя ваши данные на сайте госуслуги.рф. К чему это может привести, я думаю пояснять не требуется!

    Вот такой получился бесплатный аудит безопасности сайта для Министерства связи и массовых коммуникаций Российской Федерации
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама
    Комментарии 126
    • +66
      Я то думал топик про то, как вы сайт взломали
      • +22
        социнженерия используется гораздо чаще на практике. Человеческие слабости гораздо легче найти, чем дыры + не нужно никакого специального образования
        • +1
          А я думал — почту.
        • НЛО прилетело и опубликовало эту надпись здесь
          • +33
            Люди всегда самая явная дыра в системе безопасности!
            • +7
              очередное подтверждение того, что Кевин был прав)
              • +4
                поправочка: живые люди…
              • +2
                в технологии идентификации, которая предлагается.
                • –2
                  Кризис начинается в головах
                • +9
                  в моем отделении почты всегда проверяют данные заполненные и в паспорте
                  • +3
                    Но это абсолютно не значит что проверяют во всех отделениях =)
                    • +4
                      вот именно! у меня 1 раз из 10 проверяют!
                      • 0
                        так это и не значит, что нигде не проверяют
                        • +8
                          Система с даже одним слабым звеном != защищенная система.
                          • +3
                            да, также стоит помнить что 100% безопасной системы быть не может :)
                            • 0
                              Идеал на то и идеал, что достичь его невозможно, но надо стремиться приблизиться.
                            • +5
                              Безопасность системы равна беезопасности самого слабого звена системы.
                              • 0
                                Формально, вы очень не правы.
                                1) Чтобы опровергнуть ваше выссказывание, достаточно привести 1 опровергающий пример. В цепи из двух звеньев безопасность не будет равна безопасности самого слабого звена.
                                2) Безопасность системы не всегда меньше безопасности слабого звена.
                                • 0
                                  1) Пример «цепи из двух звеньев » плз. Желательно ссылку чтобы на этом и остановиться.
                                  2) Это не следует из утверждения/цитататы.
                                  • 0
                                    Рассмотрим двухуровневую систему (цепь из двух звеньев), для наглядности, пусть это будут две последовательные проходные. На первой сисдит бабушка и смотрит чтоб не хулиганили, а на второй сисдит злобный дядька с автоматом и проверяет даже отпечатки пальцев и скан сетчатки глаза. Предположим, что вероятность ошибки бабушки 90 %, а злобного дядьки 10 %. Думаю, что уже понятно, что безопасность системы не будет равна безопасности слабого первого звена.
                                    • 0
                                      Логическая ошибка. Для приведенного примера правильной двухзвенной цепью будут 2 рядом расположенные проходные, параллельные, а не последовательные.
                                      Последовательные проходные не образуют цепь, как бы вам этого ни хотелось и не напрашивалось. Последовательные проходные образуют вложенные замкнутые (ведь больше рубежей проникновения нет?) линии рубежа. А вот параллельные проходные как раз и будут звеньями в цепи (одной замкнутой кривой рубежа охраны).
                                      • 0
                                        Да, интуиция меня подвела. Под цепью я понимал именно последовательные звенья, но никак не рубежи охраны.
                                        Спасибо за разъяснения.
                        • +1
                          вам повезло!
                          • –3
                            указывайте на это сотрудникам почты при получении, тогда и вам повезет.
                            • +18
                              Предсталяю себе злоумышленника, который получая столь нужное ему письмо так и будет перед окошком на почте:

                              — Мне бы письмо получить…
                              — Паспортные данные заполнили?
                              — Да, разумеется.
                              — Минутку — начинает искать письмо...
                              — Вы мой паспорт сначала проверьте… и данные в нем чтобы с получателем сходились… и подпись…
                              — Ой, так это же не Вы!
                              — Конечно! Спасибо, Кэп!!!
                          • +1
                            Можно и паспорт сделать…
                          • +2
                            ИМХО, если бы на конверте были соответствующие заметные знаки или логотипы, работники бы паспорт прошерстили от начала до конца несколько раз
                            • +4
                              что за знаки? портрет президента :)
                              тут все в первую очередь от человека зависит, насколько он ответственно подходит к своей работе
                              • 0
                                Ответственность резко возрастает, если знаешь, что за косяки с конвертами, на которых к примеру напечатан флаг России, оторвут что-либо. Другое дело, что изначально я подобные документы доверять Почте РФ не стал бы.

                                Вообще надо бы разделить секретную составляющую на две части и доставить их пользователю разными путями, например еще через СМСку на телефон.
                                • +2
                                  ну тоже вариант, как с помощью СМС узнать что иван иваныч этот тот самый иван иваныч за которого он себя выдает?
                                  как вариант письмо должно приходить в паспортный стол, в местное ОВД, и там уже сотрудники МВД должны его вручать, проверив паспорт. они НЕМНОГО поответственнее сотрудников почты :) совсем чуть чуть :)
                              • +4
                                Ваше ИМХО не соответствует суровой реальности. В жизни работники почты в гробу это всё видали. И следование инструкциям в таком важном вопросе зависит от того насколько хреново у них проходит текущий рабочий день и с какой ноги они встали.

                                А на конверте можно хоть светящейся краской напечатать «Совершенно секретно: государственная тайна» или «Внимание! Осторожно: сибирская язва»…
                                • 0
                                  Конечно, надписи на конверте не смогут повысить бдительность человека, это миф
                                • 0
                                  Угу. На конверте печатать выдержки какой-нибудь статьи УКРФ со словами от 3 до 5 с конфискацией ;)
                                • 0
                                  Вот она — параноидально-идиотская регистрация на «госсулуги» во всей красе: все упирается в банальное отделение почты, на котором работают демотивированные сотрудники Почты России.

                                  Я вот часто отравляю/получаю почту в разных отделениях и паспорт при получении у меня спрашивают далеко не всегда, даже в одном и том же отделении, даже одни и те же сотрудники. Были случаи когда я получал заказную корреспонденцию на членов семьи и соседей по дому. Были случаи, когда я банально вписывал в лист получателя откровенный бред и расписывался закорючкой, которая никакого отношения к моей подписи не имеет. И все получалось! Таким образом на госсулугах за вас может зарегистрироваться любой проходимец и дальше все зависит только от его злонамерений и функциональности сервиса.
                                  • 0
                                    Точно Евгений!
                                    • +1
                                      А иногда наоборот, доходит до полного бреда, когда презжий получает заказное письмо или посылку на адрес, где временно остановился, а с него требуют регистрацию по месту жительства или по месту пребывания. В инструкциях почтовиков указано, что нужно предъявлять удостоверение личности, собственно, для того чтобы удостоверить личность. Но некоторые совковиты ещё незаконно пребуют регистрацию.
                                      • 0
                                        Да, бывает.)
                                        • 0
                                          хм не разу такого не было… Всегда получал без проблем.
                                          Паспорт даже не смотрят :) я просто заполняю свои данные и мне отдают поссылку
                                          • 0
                                            Поверьте, такой абсурд бывает. :) А удостоверится в личности получателя сотрудники почты обязаны, тем более при получении заказного письма, но естесственно никакая рега тут ни к месту абсолютно. Давно читал их правила. Но так должно быть.
                                            • 0
                                              Согласен. Но пока их **пу не взяли они будут так работать.
                                              Если они могут послать и орать через весь зал «Свет а свет, ты смотрела вера дом2? Олю выгнали? „
                                              • 0
                                                Согласен. Но пока их **пу не взяли они будут так работать.
                                                Если они могут послать и орать через весь зал «Свет а свет, ты смотрела вера дом2? Олю выгнали? „
                                        • +6
                                          тетку уволят теперь
                                          • +1
                                            ну я попытался не снимать идентификационные данные отделения, поэтому не думаю что по редким кадрам ее найдут, пусть это будет урок для всей Почты России, а не только этой женщине.
                                            • +3
                                              По-хорошему нужно её и начальника отделения. А ещё лучше — начальника отделения, а тётку — просто пожурить.
                                              • +3
                                                уволить нужно того, кто решил через простую почту отсылать.
                                                • +2
                                                  а какой надо? )
                                                  они как бы не простой, а заказной как раз отсылают )
                                                  По опыту как раз тот же DHL к примеру паспорт не проверяют и могут даже родственникам отдать посылку без особых проблем.
                                                  А на почте и EMS у меня всегда паспорт сверяют…
                                            • +2
                                              А мне и жене просто письмо в ящик спустили.
                                              • +3
                                                Хорошо, что хотя бы в ваш ящик.
                                                • 0
                                                  вот вот, а то бывает так, что почтальон промахнется, кидает в чужой ящик, а хозяин чужого ящика, либо выкинет, либо ПОСТАВИТ на всеобщий обзор на почтовые ящики, смотрите все, берите кому надо. Такое в нашем подъезде часто бывает.
                                              • 0
                                                >К чему это может привести, я думаю пояснять не требуется!

                                                К тому что можно получить доступ к инфе, которая и так продаётся на горбушках? :) Если можно, распишите.
                                                • 0
                                                  Инфа, которая продается на горбушках как раз и нужна для регистрации. А привести, я так понимаю, глобально это может к получению документов на жертву злоумышленниками и подачи от его лица официальных документов системе. Понятное дело, что тут есть много «если», но раз одна дыра уже очевидна, думаю другие тоже при большом желании найдутся. А вот если у злоумышленника получится — это уже чревато. Надеюсь объяснять, что можно сделать, имея на руках только чужой паспорт, не надо?
                                                  • 0
                                                    Да, согласен. Слава богу нынешние госуслуги.ру мало отличаются от обычных услуг — всё равно надо идти и нести все документы. По сути сейчас госуслуги.ру — электронная очередь :)
                                                    • 0
                                                      Но даже в неё уже могут попасть те, кто не должен. Читерство с государством — может вылиться в очень большой геморрой. ;-)
                                                    • +2
                                                      Бедные американцы, у них вообще паспортов нет. :(
                                                      И «пиписак» даже некуда ставить. :(
                                                • +10
                                                  Ну вы естественно зашли к начальнику почтового отделения и указали на неправильность поведения сотрудников?
                                                  • +1
                                                    А смысл? Тогда надо заходить к главе Почты России, приглашать премьер министра на эту встречу и тыкать им в интерфейсы этим видео и тестом статьи. Только так действительно хотя бы зашевелятся. Хотя все равно глобально ничего не изменится ибо система работает так как она работает. И, в соответствии с основными принципами ее существования, основная ее деятельность заключается в сохранении ее неизменности.
                                                    • +2
                                                      Министры не должны занимать вот такими вещами. За компетенцию сотрудников должен отвечать непосредственный начальник. А министру должен идти отчет о проверке, количеству жалоб и т.п. Иначе он либо будет класть на все либо заниматься тем чем не должен и не заниматься тем чем должен.
                                                      • +1
                                                        Я не говорю о том, как это должно работать (это как раз очевидно), я говорю о том, как это работает.
                                                        • 0
                                                          Странно. Мне показалось что «Тогда надо заходить к главе Почты России, приглашать премьер министра» это как раз руководство к действию… Кстати от того что глава Почты России что-то стукнет — среднестатистический работник сам не начнет более аккуратно следовать инструкции — пока конкретный прямой начальник не обучит/проконтролирует/мотивирует/накажет и т.д.
                                                        • 0
                                                          министры разве не должны понимать, какие проблемы в системе, которой они управляют?

                                                          Проверку кто должен делать?
                                                          • +1
                                                            Сам министр не должен выполнять проверку — он должен оценивать результаты проверки и принимать решение — все. Притом оценивать он должен ключевые показатели эффективности, а не на сколько, к примеру, хорошо обеспечены ножницами сотрудники.
                                                            • 0
                                                              т.е. кто-то должен дать указание специально обученным людям, проверить эффективность ключевых показателей. Возможность не санкционированного получения кода доступа к сайту ведь на какой-либо из этих показателей влияет?

                                                              Кто это указание должен давать? Уж очевидно, что не начальник почтового отделения, и даже не его вышестоящий начальник.
                                                              • +1
                                                                Например в той же Почте России есть отдельное подразделение — «Аналитический отдел департамента претензионной работы главного центра магистральных перевозок почты — филиала ФГУП „Почта России“»(так они подписываются в email ответах на претензии и судя по названию таких отделов много) — по простому отдел качества — это его работа.
                                                                Если нет такого отдела — то эта обязанность должна лежать как минимум на конкретном человеке. Назначить человека или создать отдел — задача министра — заниматься самостоятельно этим всем — уже нет — царства и кнажества, когда один человек мог за все отвечать канули в лето — это не эффективно.
                                                                Другое дело что то конкретные люди или организации работают плохо — но это уже другой разговор.
                                                      • –1
                                                        Зачем к начальнику? Просто подошел к этой бабушке на почте и указал бы на её ошибки.
                                                        Пойдя к начальнику и указав на ошибки этого оператора ему, начальник с удовольствием принял бы меры и лишил бы пенсионера премии, а в нашей стране им очень не легко живется.
                                                        • НЛО прилетело и опубликовало эту надпись здесь
                                                      • 0
                                                        В который раз убеждаемся, что самое слабое звено в любой системе безопасности — люди.
                                                        • +2
                                                          про хакера и солонку напомнило =))
                                                          кстати, после относительно успешного исследования SVN уязвимости, мы решил проверить и на SQL-inj весь рунет. На весь терпения не хватило, бот успел пробежать треть русских доменов, потом на исследование был положен больший нигерский йух в веду отсутствия времени. Однако бот успел нарыть много всего интересного. В том числе sql-inj на сайте госзакупок.
                                                          • НЛО прилетело и опубликовало эту надпись здесь
                                                            • +1
                                                              Да и фиг с ними с медкартами. Защита личных данных — это модно, но нужно понимать, какие данные секретные, а какие нет. Вот к примеру, паспортные данные свои я заполнял уже столько десятков раз во всякие никому не нужные анкеты, заявления, доверенности. Много раз давал друзьям и знакомым, чтобы мне купили билет. Их знает столько народу, что глупо это считать секретом. А вот свои пароли я даже жене говорю не все.
                                                              Если то, что Вася в детстве болел свинкой — страшная тайна, тогда нам надо в поликлиниках вооруженную охрану, пропускную систему и т.п. Они и сейчас не очень-то лечут, а тогда совсем перестанут, у них важнее задачи появятся
                                                              • НЛО прилетело и опубликовало эту надпись здесь
                                                                • 0
                                                                  Тут дело не в личном распиздяйстве, а в том, что в любую пустячную бумажку требуют вписывать кучу данных. Можно писать белиберду, но часто и копии требуют. В фотошопе править? Так это уже как подделку документов могут истолковать.
                                                                  Будь моя воля, я бы никому ничего не сообщал, потому как зачем им это всё? Боятся перепутать меня с моим полным тезкой? Есть номер паспорта, он уникален. А всё остальное, например, какого числа мне его выдал наш доблестный ОВД — бессмысленная информация.
                                                            • 0
                                                              Меня глючит или на хабре этот пост с 5% изменений уже публиковался?
                                                              И там я уже отписывался, что Тупость и халатность работника почты — это не взлом сайта. автор еще отметил, что все небезопасно, на что я заметил, что может тогда от терморектального криптоанализа админам жопы позашивать?
                                                              • +1
                                                                Автор и не утверждает, что взломал сайт. Он даже в заголовке указал «дыра в системе безопасности сайта». Система безопасности любой хоть сколько-то сложной информационной системы состоит более чем из одного звена. В данном случае проектировщики системы сделали часть звеньев офлайновыми, которые в свою очередь оказались не столь надежны, как рассчитывалось видимо.
                                                                • –2
                                                                  А причем тут сайт?
                                                                  Если косяк в проверке документов. то так можно под одну гребенку написать много пустых статей. Ради фана статья интересна. Не думаю, что кто-нить сможет повторить такое. Тем более пистон вставят скорее всего женщине на почте.
                                                                  Больше бесит что статья здесь уже была habrahabr.ru/blogs/infosecurity/97344/
                                                                  Я не тупой, по 2 раза одно и тоже мне пихать не нужно.
                                                                  • +1
                                                                    Сайт тут потому, что он и есть основа описываемой системы. Информационная безопасность она ведь не есть сугубо «высокие материи».

                                                                    Насчет повторить такое — я вот как раз наоборот считаю. То, что вставят пистон — справедливо, что не тому человеку — не очень.(

                                                                    Что касается ссылки… Вы сами посмотрите её, Вы точно про эту ссылку говорите? Намекаю: по этой ссылке другая статья того же автора.
                                                                    • –1
                                                                      Ссылка есть в комментариях, там точно эта же статья только нет «шапки». Рерайтер 2 бакса берет, что бы переписать 1 тыс символов. Что бы уж не совсем копипаст был.
                                                                      • 0
                                                                        Во-первых правильно давайте пруфлинки, если опираетесь на них.

                                                                        Во-вторых статья тут была опубликована раньше, просто болталась в песочнице, потом автор ее опубликовал здесь в личном, потом в тематическом блоге, потом она попала на главную. А перепост был отсюда в личный блог автора. У человека аккаунт на хабре всего пару дней как, а вы пытаетесь поохотиться на ведьм.
                                                                        • –1
                                                                          Ну раз первые посты, значит правила и пожелание не так сильно забылись? «Хабр не место копипасту»
                                                                          • 0
                                                                            Ну так и не было копипаста. По крайней мере сюда извне.
                                                                          • 0
                                                                            именно, жаль что при переносе из песочнице, все комменты похерелись
                                                                    • 0
                                                                      от себя добавлю — найти ключи от квартиры где деньги лежат, это еще не значит взлом квартиры, зайти за хозяинов в его квартиру, где деньги лежат тоже еще не взлом… я говорил о слабых местах системы безопасности
                                                                  • +3
                                                                    мне письмо с кодом активации от госулуг вообще в ящик бросили.
                                                                    • 0
                                                                      Вам повезло с отделением связи, точно знаю, что у нас на главпочтампе и в моем местном отделении связи, паспорт в первую очередь требуют.
                                                                      • 0
                                                                        Они обязаны при получении некоторых видов отправлений удостоверять личность получателя. Но, к сожалению, иногда это доходит до крайностей: требуют регистрацию от приезжих, получающих почтовые отправления по месту временного пребывания. Это незаконно и вообще не предусмотрено ихней собственной инструкцией. :)
                                                                      • 0
                                                                        >Львиная доля сотрудников почты никогда не проверяют паспорт!

                                                                        Вот не надо делать такие поспешные заявления
                                                                        Есть Почтовые Правила и всех их соблюдают
                                                                        То что где-то не проверили Ваш паспорт является грубым нарушением Почтовых Правил

                                                                        нарушители есть везде.
                                                                        • +8
                                                                          Таким образом, любой желающий может зарегистрироваться используя ваши данные на сайте госуслуги.рф. К чему это может привести, я думаю пояснять не требуется!
                                                                          А мне требуется. Я не знаком с этим сайтом. К чему это может привести?
                                                                          • +3
                                                                            Ну вдруг кто-то за вас налоги заплатит. Непорядок.
                                                                          • 0
                                                                            какой толк от получения такого письма? Как им можно воспользоваться? Никак. В любом случае понадобится личное участие в предоставлением всех оригиналов документов. Не думаю, что это прямо такая уж дыра в безопасности.
                                                                            • 0
                                                                              Один человек может зарегистрироваться в сервисе работы государства с системой вместо другого. Да, может быть на данный момент функциональные возможности сервиса сильно ограничены. Но во-первых это вроде только пока, во-вторых, вероятно, будет постепенное выживание офлайновой части, по крайней мере для зарегистрированных пользователей.

                                                                              Насчет дыра ли это — всё зависит от личного опыта. А тут как с системными администраторами — граждане делятся на два типа: тех, кто ещё не огребал от государства, и тех, кто уже.
                                                                              • 0
                                                                                «сильно ограничены»: давайте поставим вопрос иначе: «что вообще можно сделать на сегодняшний момент, имея логин и пароль иного лица?». Хотя кое в чем вы правы…
                                                                                • 0
                                                                                  Спасибо недоразвитости и нерасторопности нашей системы — пока практически ничего нельзя. Однако если мыслить как профессиональный мошенник (коим я не являюсь, потому мне сложно судить), то наличие самой возможности наверно что-то уже дает.
                                                                            • +3
                                                                              Это не дыра. Это экосистема «дуршлаг»
                                                                              • +1
                                                                                Вчера созванивались с отделом госбезопасности.
                                                                                Они нам так и подтвердили: «Это не дыра, это технологическое отверстие».
                                                                              • +1
                                                                                Даже если бы все сотрудники почты вдруг стали спрашивать паспорт и сверять данные — это все рано осталось бы дырой. Никто не мешает быть с работником почты в сговоре, или самому быть работником почты. Эти товарищи не под присягой, никому ничего не должны, ни перед кем никогда не отвечают, и никем не контролируются.
                                                                                • +2
                                                                                  у меня письмо от сайта госуслуги лежало в ящике почтовом. Ну как и многим другим
                                                                                  • 0
                                                                                    Кстати, как ни странно, серрые базы и прочее — повод как можно скорее зарегистрироваться.

                                                                                    Вообще у них там всё забавно на госуслугах. Например, формы заявлений на загранпаспорт размещает и обрабатывает ФМС. Т.е. звоню например на круглосуточную линию, и спрашиваю, почему в описании поля «адрес места работы» в анкете стоит «страна, город», а заявление человеку заворачивают, поскольку не указан полный адрес. Ответ — выясняйте в ФМС.
                                                                                    Там же кстати прекрасный абзац про порядок указания мест работы. Мало того, что он абсолютно не понятен, так ещё и было не понятно, почему нельзя эти данные отсортировать автоматически внутри системы. Зато стало понятно, что просто есть некторый движок для создания форм, бумажки по которым уходят в другую организацию (напимер, ФМС или налоговую). И вот тут работают извечные государственные принципы «вы сами должны указывать данные правильно» и «мы за это не отвечаем».
                                                                                    Так же, судя по отказам вроде «сервис проверки данных недоступен», есть некоторый внешний сервис Пенсионного фонда, с которым работает портал, и с которым тоже периодически не всё хорошо.
                                                                                    • 0
                                                                                      Да, и на нашей почте к паспорту отнеслись внимательно, что порадовало, т.к. аналогичные мысли про надёжность системы тоже были.
                                                                                      • 0
                                                                                        Такая система (авторизация по почте) используется в Великобритании и достаточно успешно. Правда Королевская Почта — слегка отличается от Почты России.
                                                                                        Ну так и госуслуги, оказываемые государством гражданам Королевства примерно в той же степени отличаются от госуслуг, оказываемых «россиянам».
                                                                                        Так что вполне адекватно.

                                                                                        Кстати, про загранпаспорт. Я нашел в сети сайт, на котором есть комментарий заполнения их собачьих анкет. Его функциональность, для меня, на два порядка оказалось выше сайта госуслуг — мои анкеты приняли с первого раза. Типа я правильно даты написал, «не привлекался» вместо «нет» ну и т.п. Обычная статичная страничка html…
                                                                                        • 0
                                                                                          не стесняйтесь оставлять ссылки на такие странички
                                                                                        • 0
                                                                                          мне пришлось из анкеты на загранпаспрорт нового образца с помощью акробата делать анкету старого образца(на старом не печатались цифры).

                                                                                          • 0
                                                                                            Вот, говорят, хороший сайт об этом(не в плане дизайна, а в плане контента): biodocs.narod.ru
                                                                                          • 0
                                                                                            Тут дыра не только в госуслуги.рф, а в том что вы так легко получили ИНН и CИЛС (или как там он называется). Кстати у меня паспорт _всегда_ проверяют. :)

                                                                                            P.S. Вы аудит то не совсем закончили. Напишите ваше мнение как бы вы пересмотрели схему регистрации на этом портале. Думаю это интереснее всего и от этого возможно будет польза.
                                                                                            • 0
                                                                                              >Львиная доля сотрудников почты никогда не проверяют паспорт!
                                                                                              Вот с этим не соглашусь
                                                                                              Откуда данные? личный опыт? Каком объем выборки?
                                                                                              • 0
                                                                                                А вот я соглашусь.

                                                                                                Объем выборки — 3 года по 3—12 писем ежемесячно, 4 отделения почты, Новосибирск. В 50—60% случаев все как так.
                                                                                            • 0
                                                                                              Похоже в понедельник у Почты России появится одна свободная вакансия…
                                                                                              • +1
                                                                                                Хорошо хоть письмо не вскрыто, а то некоторые почтовики очень любопытные…
                                                                                                • +2
                                                                                                  На почте выши данные могут проверить, могут и не проверить; при отправке через Интернет или мобильный телефон данные точно проверять не будут. Так что по почте отправлять на данный момент безопаснее.
                                                                                                  Можно, конечно, сделать так, чтобы для регистрации нужно было лично прийти с паспортом куда-нибудь и там получить логин и пароль. Это будет еще безопасней (да и то не на 100%), но, естественно, приведет к росту чиновников: в каждом городе нужно будет посадить человека, который будет этим заниматься.
                                                                                                  • 0
                                                                                                    К какому росту? Неужели из той оравы, которая сейчас пинает балду в конторах, нельзя выделить по одному человеку?

                                                                                                    Другой вопрос, что в далеком селе кроме почты никаких контор нет, правда там всех жителей знают в лицо и по имени (знаю по опыту друга). С другой стороны, получать кредит на имя деревенского жителя вряд ли кто-то станет.
                                                                                                    • 0
                                                                                                      Думаете кто-то из той оравы, которая сейчас пинает балду в конторах, сознается, что у них есть время и люди для этого? Официально у всех есть работа, все заняты, так что будут требовать еще ставки.

                                                                                                      А в далеких селах, я думаю, налоговой и отделения пенсионного фонда тоже нет, и его жители те же ИНН и СНИЛС получали где-то в районном центре (если получали, конечно).
                                                                                                  • +3
                                                                                                    Недавно получал свой гражданский паспорт по почте (знаю, додумался, но ничего умнее не придумал) ценным письмом. Или заказным, не помню. Пришёл, говорю извещения не получил, но должно было прийти письмо. Назвал фамилию. На меня выписали извещение, заполнил бланк на получение. Соответственно в качестве документа указал данные заграна.
                                                                                                    Как же я удивился, когда девушка забрала бланк, но даже не открыла мой загран. Точнее я его ей даже не дал, он хватанула бланк, отдала письмо и усё.
                                                                                                    Т.е. зная, что ты, %username%, ожидаешь что-то по почте, я могу просто прийти в почтовое отделение, назваться тобой, сказать что не получил извещение, но точно знаю что должно прийти и, собственно, получить это.
                                                                                                    Ладно, даже если проверят загран — открою на странице где нет фамилии, только номер. Уверен что прокатит.
                                                                                                    Ладно, плюш прав стоит 5к в Москве. Уверен, на почте пробивать права точно не будут =) А фамилию на плюш можно любую заказать.

                                                                                                    Человеческий фактор всегда был самым слабым звеном в любой самой крутой безопасности, но почта россии это отдельный разговор.
                                                                                                    Помню несколько лет назад, зачастил в одном отделении и как-то на заявление: «у нас комп не работает, приходите завтра» предложил свою помощь. Вообще я думал это отговорка и решил немного поязвить, т.к. знаю как работают подобные структуры и знаю что к терминалам физический доступ могут иметь только сотрудники. Будь то кассир или человек из службы поддержки. Но не тут то было =) мне свободно пустили к компу. И о чудо, после того как я воткнул таки клаву в комп, он даже загружаться стал. Но EPIC FAIL был в другом. Кассир решил не смотреть в чём дело и отправился на обеденный перерыв. Вход в почтовый софт был закрыт пассом и на моё удивление, пароль не был написан ни на мониторе, нигде рядом с ним.

                                                                                                    А ещё было весело в x25 =) но это уже совсем другая тема…
                                                                                                    • 0
                                                                                                      просто улетная история :)
                                                                                                    • 0
                                                                                                      кстати, полазил я по услугам этим гос, посмотрел что можно сделать, по сути все там — это регистрация в очередь через интернет. Хотел зарегить ип (живу в одном, зареган в другом) заполнил заявление, вот вам номер, идите в свою налоговую с паспортом. Загран менять — тоже самое.
                                                                                                      Так что даже зарегившись под чужими данными в этой версии услуг мало что сделаешь, все равно надо идти нонами и показывать свой паспорт.
                                                                                                      И насчет почты: в России еще еще как-то проверяют, живя в Англии насмотрелся как и посылки возле дома оставляют и соседям передать не проблема и при этом обычная практика пересылать паспорта по почте.
                                                                                                      • 0
                                                                                                        На самом деле всё было ещё хуже у меня. Я живу в деревне, в подмосковье (не дальнем). Тоже решил зарегистрироваться. Прошел все этапы (подтверждение телефона, подтверждение емэйла). Настало время «почты России». Они указали на сайте, что получать только в почтовом отделении, только по паспорту… Ага, сейчас, они просто не знали действительности — письмо было обнаруженным в переулке на земле. Оно там тупо валялось. Ибо почтальон сунул его в калитку, а ветер доделал своё дело.

                                                                                                        А вы говорите инженерия… Разгильдяйство это. А самое интересное (и противное) что никому ничего не докажешь потом.
                                                                                                        • 0
                                                                                                          А мне письмо просто в почтовый ящик кинули.
                                                                                                          • 0
                                                                                                            Мне письмо вообще в почтовый ящик бросили:(
                                                                                                            • 0
                                                                                                              Зачем человека минусуете?
                                                                                                              И мне тоже письмо «Госуслуг» просто в почтовый ящик пришло.
                                                                                                              • +1
                                                                                                                А мне так кредитку в письме как-то раз сунули в почтовый ящик… соседа. Ладно хоть сосед оказался нормальный добропорядочным — передал мне, а вообще это был epic fail, учитывая, что кредитка с приличным овердрафтом.(
                                                                                                                • 0
                                                                                                                  этим грешил «Русский стандарт», я знаю достаточно много историй, когда эти письма вскрывались и мошенники обнуляли всю карточку! А потом приходили коллекторы к ничему не подозревающим людям и справшивали — где бабки чувак?
                                                                                                            • 0
                                                                                                              Есть же ещё одна проверка при регистрации — SMS, симку на бомжа регистрировать будем? :)
                                                                                                              На самом деле на почте обязаны были попросить паспорт. Человеческий фактор…
                                                                                                              • –1


                                                                                                                Неееееееет >_<
                                                                                                                • –2
                                                                                                                  Ой, так, наверное, нее все поймут… нужно перейти по ссылке, представленной в топике…
                                                                                                                • 0
                                                                                                                  Хотите прикол? Вот вы говорите паспорт не проверяют… Свой код активации я нашел в почтовом ящике… Вот так вот!

                                                                                                                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.