Через Яндекс Пэй утекают пароли от Госуслуг?
Позавчера захотела расширить лимиты цифровой карты в Яндекс Пэй, но для этого приложение попросило авторизацию через Госуслуги. Странновато, подумала я, но окей, и прошла.
И что вы думаете? Спустя сутки, без каких-либо моих действий и запросов, мне неожиданно приходит SMS с кодом доступа к Госуслугам. То есть, кто-то уже знает связку логин-пароль ему только помешала 2fa. Вопрос: откуда? Я не заходила на Госуслуги больше двух недель, за исключением вот недавнего подтверждения в Яндекс Пэй.
Погуглив, нашла такой пост на банки.ру где произошла аналогичная ситуация, но видимо у человека не стояла 2fa, и злоумышленникам удалось получить доступ к аккаунту. А вот тут пикабушник спрашивает поддержку Яндекса зачем "нужно авторизовываться через Госуслуги и потом отказываться от предоставления данных".
В моем же случае поддержка Яндекса толком не объяснила откуда произошла утечка паролей, а лишь заблокирвала доступ к аккаунту. Со своей стороны я сразу отозвала все разрешения для Яндекса в Госуслугах и сменила пароль.
Главный вопрос, на который Яндекс так и не дал ответа.
Если привязка к Госуслугам настолько уязвима, если уже есть реальные прецеденты взломов и попыток входа без ведома владельца - почему до сих пор не введён альтернативный способ расширения лимитов онлайн?
И напоследок - предупреждение всем, кто пользуется Яндекс Пэй и собирается проходить авторизацию через Госуслуги. Первое самое важное ПОДУМАЙТЕ а надо ли оно вам, если все-таки надо, то проверьте, включена ли у вас двухфакторная защита, потом отзовите лишние разрешения. Ну и следите за смс или пушами.
Пока сервисы перекидывают ответственность друг на друга, защищать свои данные приходится нам самим.
