Взлом госуслуг и невозможность отвязать "чужое" приложение⁠⁠

Уже было достаточно много постов про взлом госуслуг, вкратце - проверьте чтобы тут и тут, чтобы не было лишних подключений. Иначе - отключайте, запрашивайте кредитную историю, читайте (тык_1, тык_2).
Люди делятся на два типа: кто ещё не использует двухфакторную аутентификацию и те, кого уже взломали. Я из второй группы.
Но речь не об этом, у госуслуг есть уязвимость - вечный токен. То есть даже после изменения пароля и включения двухфакторки мошенник может заходить через своё приложение.
Чтобы такого не происходило - необходимо "отвязать" чужие приложения. И вот тут вся загвоздка - госуслуги мне не позволяют выйти из приложения мошенника.

Эта "загрузка" идёт вечно, после обновления страницы спустя 10-15 минут приложение мошенника всё ещё на месте.

Так же можно попробовать убрать лишние подключения тут. Вот только там та же история.

Получается, злоумышленник по прежнему имеет доступ к моему кабинету и я никак не могу его ограничить. Саппорт молчит.

Прошу помочь советом - вдруг, кто-то сталкивался с таким. И предостерегаю тех, кто ещё не проверял госуслуги на предмет взлома - судя по постам и комментариям это явление массовое.

167

Информационная безопасность IT

1.5K поста25.6K подписчиков

Добавить пост

Правила сообщества

Обязательно к прочтению для авторов:

1. Если вы добавляете пост, утверждающий об утечке данных или наличии дыр в системе, предоставьте ссылку на источники или технически подкованное расследование. Посты из разряда "Какой-то банк слил данные, потому что мне звонили мошенники" будут выноситься в общую ленту.
2. Все вопросы "Как обезопасить сервер\приложение\устройство" - в лигу "Компьютер это просто".

Обязательно к прочтению для всех:

Добавление ссылки разрешено если она не содержит описание коммерческих (платных) продуктов и/или идентификаторов для отслеживания перехода и для доступа не нужен пароль или оплата в т.ч. интернет-ресурсы, каналы (от 3-х тематических видео), блоги, группы, сообщества, СМИ и т.д.

Запрещены политические holy wars.

По решению модератора или администратора сообщества пользователь будет забанен за:

1. Флуд и оскорбление пользователя, в т.ч. провокация спора, флуда, холивара (высказывание без аргументации о конкретной применимости конкретного решения в конкретной ситуации), требование уже данного ответа, распространение сведений порочащих честь и репутацию, принижающих квалификацию оппонента, переходы на личности.

2. Публикацию поста/комментария не соответствующего тематике сообщества, в том числе обсуждение администраторов и модераторов сообщества, для этого есть специальное сообщество.

3. За обвинение в киберпреступной деятельности.

4. За нарушение прочих Правил Пикабу.

DELETED

3 года назад

Проверяйте ваши девайсы, может блокировщик рекламы режет скрипт на странице, или непрогруз, или очередной "оптимизатор трафика". Специально проверил - зашёл в лк через браузер в телефоне, удаляются ненужные авторизации

Ссылка была https://lk.gosuslugi.ru/settings/safety/applications

раскрыть ветку

103

ThreePlanet

3 года назад

Собственно, я сейчас поэкспериментировал - зашёл в приложение госуслуг со своего телефона, после чего ещё раз поменял пароль с компьютера на сайте, доступ с телефона по прежнему есть. То есть смена пароля не помогает лишить доступа мошенника. А удаление телефона на вкладке безопасность -> приложения по прежнему не работает.