С 1 марта 2023 года Минцифры начнёт вводить обязательную двухфакторную аутентификацию на сайте государственных услуг. Это, по словам главы министерства Максута Шадаева, позволит повысить уровень безопасности пользовательских аккаунтов.

Источник изображения: Malte Helmhold/unsplash.com

«Мы вводим программу обязательности второго фактора. То есть сейчас, чтобы получить доступ на Госуслуги, достаточно ввести логин и пароль. Мы считаем, что нам нужно обязательно использовать второй фактор для авторизации», — заявил руководитель ведомства представителям СМИ.

Как сообщает «Интерфакс» со ссылкой на слова чиновника, обязательная двухфакторная аутентификация начнёт внедряться поэтапно, соответствующие работы стартуют 1 марта. Вторым фактором защиты помимо пары логин/пароль будет обязательное использование SMS-кода либо другого способа (например, с помощью электронной почты). По словам Шадаева, такая технология позволит повысить защиту учётных записей пользователей, особенно для тех, кто использует простые пароли.

Стоит отметить, что доступ к учётной записи портала госуслуг предоставляет пользователю довольно широкие полномочия вплоть до получения подробной информации о собственности гражданина, его доходах, а также прочих сведений персонального характера.

С 1 июля двухфакторная аутентификация станет обязательной для всех пользователей портала Gosuslugi.ru.

Осенью 2022 года сообщалось, что интеграцию с порталом госуслуг получит сервис «ВКонтакте », а в VK-мессенджер можно будет получать уведомления из государственных ведомств.

Охотник за программными ошибками (Bug-Bounty Hunter, по аналогии с Bounty Hunter — охотник за головами) с псевдонимом Gtm Mänôz обнаружил проблему в API соцсети Instagram✴, которая может позволить злоумышленнику запускать брутфорс-атаки и обходить двухфакторную аутентификацию (2FA) в соцсети Facebook✴, принадлежащей той же компании, Meta✴ Platforms.

Источник изображения: themerkle.com

Пользователь может связать свои учётные записи Instagram✴ и Facebook✴, добавив в первую уже подтверждённый номер мобильного телефона, связанный с учётной записью Facebook✴. После ввода номера мобильного телефона Facebook✴ генерирует одноразовый код для подтверждения личности пользователя.

Но ошибка с ограничением числа попыток доступа в Instagram✴ может позволить злоумышленнику управлять неограниченным бот-трафиком, чтобы запустить брутфорс-атаку для подтверждения одноразового PIN-код Facebook✴, эффективно обходя двухфакторную защиту Facebook✴.

«Если номер телефона был полностью подтверждён и в Facebook✴ включена двухфакторная аутентификация, то она будет отключена или деактивирована в учётной записи жертвы, — обнаружил Gtm Mänôz. — И, если номер телефона был частично подтверждён (то есть использовался только для 2FA), 2FA будет отменена, а номер телефона будет удалён из атакованной учётной записи».

Охота Gtm Mänôz за ошибками была успешной — на данный момент Meta✴ уже исправила проблему и выплатила ему 27 000 долларов в рамках программы вознаграждения за обнаружение уязвимостей. Всем пользователям рекомендуется незамедлительно обновить приложения Meta✴ до последней версии, чтобы избежать уязвимости.