Наткнулся тут на статейку [ https://smart-lab.ru/blog/594140.php ] о том, как на чела взяли кредит после взлома учетной записи на госуслугах (честно говоря не понял как), но на всякий случай залез в раздел безопасности личного кабинета на оных и обнаружил интересную штуку - оказывается куче инф. систем предоставляется явно избыточная инфа - пример:
И т.д.
Там еще были страховые компании ..., у людей наверняка банковские есть.
Короче рекомендую проверить раздел в госуслугах ( ссылка - https://esia.gosuslugi.ru/profile/user/settings/permissions ) , кто даже вполне официально может по Вашим перс данным шарится ))
Потом не удивляйтесь "холодным и горячим", хорошо таргетированным прозвонам... есть стойкое ощущение не очень высокого уровня защиты с дисциплиной, как у ГБУ, так и у коммерсов. К последним так вобще какие вопросы... Люди деньги зарабатывают.
Не, такой хоккей цыфра нам не нужен ))
Конечно в личном кабинете госуслуг можно удОлить "разрешения", но думаю все уже собрано.
ИМХО единственное решение проблемы это открытие всех данных - заодно "информационную асимметрию" разрешит наконец, ради ее Величества Конкуренции так сказать... хотя есть варианты. Надо думать.
Комментарии
Круто, что я могу сказать еще.
те ни чего не поняли да?)
Дык как тут понять,
тут большинство не местные сидят под российскими прокси айпи
для визуального патриотизму и изображая сообщество гы, а сами с киевской и брайтонской синагоги отрабатывают комментарии ))
Вас ведь конечно не затруднит обосновать озвученный наброс?
Почему это наброс ви считаете, сидя на анонимном сайте и требуя обоснований от анонима.
Хотите чтоб я вам показал, что я из под прокси захожу ?
Талант, можно сказать талантище. Настоящий мастер Проекции.
ЗЫ: Для справки определение: «набросом является утверждение *желаемого* в отрыве от связи с реальностью».
Тут не наброс, а простое непонимание кто и что может просматривать.
Имелось в виде это утверждение:
Понял.
Вот года два наблюдаю за работой ресурса, и всё больше укрепляюсь в таком же мнении. Есть несколько критериев, по которым можно определять реальность сообщества:
1. Разнообразие авторов на пульсе.
2. Разнообразие реакций на материалы.
3. Количество уникальных посетителей, обсуждающих материал.
4. Изменение риторики и акцентов материалов одного и того же автора в зависимости от получаемых через обсуждение материала знаний.
5. Банная активность на ресурсе и динамика её изменения.
6. Количество осмысленных реакций уникальных пользователей на отдельные высказывания в обсуждениях.
7. Читаемость материалов набивших оскомину не буду указывать кого, и наличие их материалов на пульсе в зависимости от читаемости.
Этот список довольно приблизительный и неполный, конечно. Также, он достаточно субъективный.
Далее поясню мою линию поведения на ресурсе и увиденные результаты по указанным критериям за время моего нахождения на ресурсе. Во-первых, просматривал и участвовал в обсуждениях, практически, только в материалах, представленных на пульсе, как в наиболее доступных для случайных посетителей ресурса, и наиболее охраняемых авторами и атакуемых троллями..
1. В разные периоды, но пульс представлен примерно одними и теми же авторами. Причём авторами, с поистине нечеловеческими возможностями по частоте написания и объёму материалов и коментирования. На мой взгляд, это говорит о том, что реальных авторов, стремящихся или способных донести свой материал до широкого круга, явно мало.
2. Реакции делятся на два лагеря - защитников и атакующих. Непременно с попыткой любыми средствами нейтрализовать друг друга. Такое противоборство изобилует утверждениями-лозунгами, оскорблениями и прочим экстремизмом. Реакции, содержащие строго профессиональные или субъективные, основанные на понятном собственном опыте оценки являются крайне редкими. Это говорит о том, что цели большинства "обсуждающих" не являются явными.
3. Как правило, круг обсуждающих очень ограничен, и часто обсуждение искусственно поддерживается либо автором, либо троллями. Что говорит об искусственной накрутке рейтинга материала.
4. Авторы от публикации к публикации никак не учитывают полученную критику своих материалов. Не делают их более сбалансированными и взвешенными. Это говорит о том, что материал носит заказной характер. Гоню от себя мысль, что авторы непроходимо тупы и неспособны воспринять, переработать и учесть полученные из обсуждений сведения.
5. Наблюдения за банной активностью показали, что наибольшее число банов собирают тролли. Наименьшее количество банов собирают пользователи, публикующие в больших количествах ангажированные, и не применяющие баны, чтобы их материалы не остались в изоляции. У реальных посетителей ресурса число банов растёт до умеренного предела, как правило не превышающего число активных троллей и авторов, несущих пропаганду, после чего оно меняется незначительно.
6. Количество осмысленных реакций уникальных пользователей на отдельные высказывания в обсуждениях постепенно уменьшается, увы. В основном даже реакции в поддержку высказывания носят декларативный, а не познавательный характер. Попытки обсудить вопрос детально не приводят ни к чему.
7. Читаемость материалов набивших оскомину не буду указывать кого, и наличие их материалов на пульсе в зависимости от читаемости озадачивают. По прошествии нескольких месяцев общения с рядом авторов в их материалах на пульсе я сделал вывод об их пропагандистской и манипулятивной направленности. Поэтому дальнейшее прочтение и обсуждение перестало быть интересным. Причём, вряд ли только для меня одного. Тем не менее, материалы эти не покидают пульс. Странно.
Из всего изложенного делаю вывод, что ресурс заполонила пропаганда и тролль-массовка. Для взгляда со стороны выглядит как инсценировка интернет активности населения.
Надо сказать, что я ещё не изучал пристально блоги. Возможно, что весь глубинный народ находится не на пульсе, а именно там. Если это так, это плохо. Получается, что они отдают медийное пространство театру.
Давай, не безобразничай.
у меня правило - воспользовался услугой на стороннем ресурсе с входом через гос услуги, сразу закрой доступ
кстати в вашем примере "личный кабинет физического лица 2" - это налоговая, тч по этому поводу можете не переживать
вот с этим категорически согласен, каждый должен иметь возможность узнать сколько его знакомый, родственник, партнёр и тп употребляет, зарабатывает, какие крупные покупки делал, чем болел, сколько детей и тп
Вот тут собака порылась !!! Кроме авторизации через госуслуги этот же ресурс может от БД госуслуг получить и другую информацию о вас. Ну буду говорить, что любую, но механизм запроса/получения данных после авторизации существует - это факт. И что владельцы ресурса потом с этими данными сделают - решать уже не вам .
так в этом и смысл авторизации через гос услуги - не вводить на куче сайтов свой ИНН и тп, не хотите не авторизуйтесь через гос услуги - сами будете вбивать все данные, а права отбираю, чтоб в будущем ресурс не мог получить обновлений по моим персо данным
Я это прекрасно понимаю. Просто указал точку, где официально и легально можно получить данные пользователя, а потом ... потом с данными можно делать всякое разное ...
Нет, не может. Обмен происходит в рамках СМЭВ, где каждому подключенному ресурсу выделяется доступ к конкретным ресурсам конкретных информационных банков и не более того. Эта система уже давно работает между госучреждениями и коммерческими организациями, в конце прошлого года начался переход на СМЭВ 3.
Есть 100% уверенность что РОИшный например слепок, где нибудь на условной горбушке не всплывет?
Про "вибер платежи" и прч еще необходимо разбираться и у меня тоже очень странно "росгострах" оказался хотя не припомню, чтобы их услугами пользовался...
СМЭВ, СМЭВ3 и прч это верхушка айсберга, ребята из банков так понимаю там напрямую договариваются - процесс не очень публичный.
Впрочем с учетом стратегии на организацию "маркетплейса" вокруг госуслуг это только вопрос времени, когда к типа анонимным "айди" в машинах компаний занимающихся контекстной рекламой и таргетингом появятся привязки к паспортам.
Лично эту тему поднял - не вокруг паранойи вокруг ПД, а действительно что эти паспортные данные вобще скрывать ? Может быть стоить лучше сделать так, чтобы их было бессмысленно использовать в принципе.
РОИ, может, и всплывет. Но никакой дополнительной информации сверх запрошенных полномочий там не будет (и то, если эта информация вообще будет запрашиваться).
А что до СМЭВ - я бы не горячился насчет "верхушки". Эта система связывает все господсистемы - налоговую, прокуратуру, следственный, МВД, Минздрав, Росздрав, Антимонопольную, суды, минобр, минкульт и прочее. "Напрямую" - это и есть СМЭВ.
Со СМЭВом все понятно, речь про другое, что в интеграционных процессах по факту оказывается, что "все равны", но некоторые "равнее", причем как раз финансовые, страховые и т.д. структуры - что конечно говорит о квалификации и активности их сотрудников, остается только за них порадоваться.
Про "запрашиваемые полномочия" по ним для 80% граждан ликбез проводить надо.
Впрочем не тема для данного форума, людей предупредил и ладно.
Типа: почему в базе данных для *вставки* файла *необходимы* права update…
Ни разу не видел, чтобы в рамках СМЭВ кому-то выдали больше полномочий, чем необходимо. Да и смысла в этом нет. Рядовой пример - пришел человек, хочет купить себе смартфон в кредит. Как тут поможет "левый" доступ к СМЭВ? Доступ к финансовым активам есть, доступ к состоянию здоровья есть, доступ к судимостям есть. Что действительно банкам важно - расходы лица в деньгах и категориях, а там уже есть свой междусобойчик между банками в продаже этой информации.
Полагаю необходимым и достаточным сделать пользователю доступной информацию не только о разрешениях, но и о фактическом использовании персональных данных.
С отзывом ТУ на присоединение у всех заинтересованных, не желающих оплачивать закономерное продолжение хотелок.
ЗЫ: Характерный пример соревнования брони и снаряда.
Вспомните проблему установившегося режима третьей этической (незнание закона какбы не освобождает от ответственности, но даже профессиональные юристы вынуждены к дальнейшей специализации).
Вперёд, к *четвёртой* этической!!!
от программера и обслуживающего персонала никакие разрешения или запреты не спасут
Базы данных сливались и сливаются
Мне как-то Сбер прислал эсэмэску с предложением кредита на сумму 785.000 руб. - я не отреагировал. Но вот когдаь через две недели Альфабанк прислал предложение с СМС с ТОЙ ЖЕ САМОЙ СУММОЙ, я призадумался...))))
У меня там только ПФР, налоговая, почта и РОИ.
Угу, в статье сплошной гон. Доступ только у тех, кому сам и разрешил. У меня ПФР и почта России. Обоим конторам я сам лично разрешал доступ к данным. Не надо клацать по клавишам с отключенными мозгами и не будет раздачи доступа кому попало.
Подтверждаю. Мой профиль открыт для ограниченного списка организаций, которым акцептовал доступ в рамках процедуры регистрации на их ресурсах. Никаких организаций сверх акцептованных мной я не заметил.
Гм... Аутентификация для доступа к публичным Wi-Fi сетям. Скорее всего где-то в аэропорту сидел, в мобильник втыкал. Но это ж любой провайдер может данные из базы дёргать, хотя всего-то ФИО и номер телефона. Прибил на всякий случай.
Ну... удобство и комфорт есть те, повсеместно развешенные, рыболовные крючОчки, на которые и ловят простодушных пескарей) Но, пока судьба этих рыбок, после успешной рыбалки публично не объявлена. То ли коптить, то ли жарить, а может в рыбную муку для удобрения...
Спасибо большое.
Я с ОГРОМНЫМ удивлением обнаружил там сайт Росгосстраха. Это ладно бы. Еще и кошелек для исходящих звонков Viber. Вот тут я припух окончательно.
Вельми мерси, сейчас с ноута зайду и проверю.
вобще --> вообще
ваще
вщ
Вопщем
Вообщем, пешите грамотно!
И не «-->», а «→»!
☺
Вот поэтому я сим продуктом грефо-чубайсовско-мишустинского гения и не пользуюсь.
(по)теряете деньги
например, права водительские -30%
Пока вы явно не разрешите доступ - никто там не появится. А тыкая где попало что попало, стоит ли жаловаться на либерастов.
DoS решает проблему.
Плюс «грамотная» разработка интерфейсов.
Да бросьте вы, при авторизации всегда перекидывает на сайт госуслуг. А жать там кнопки, чтобы потом верещать про "грамотных" разработчиков - не от большого ума.
В переводе с обиженного: согласно *задумке* *должно* перекидывать.
Теперь, внимание, вопрос: откуда у пользователя это Знание?
Не иначе — повторяется ситуация с *единственным* действительно *интуитивно*-понятным интерфейсом.
В переводе на русский: перебрасывает на официальный сайт госуслуг с официальной символикой и характерными полями. Если человек идиот и жмет всё подряд, это проблема человека-идиота.
Спасибо!
Закрыл доступ каким-то viber платежам.
повтор, от сюда
Вопрос культуры разработки.
Не только и даже не столько безопасников.
И не бить, а сочетать браком по республиканскому обрязу с ыкономиздами, под предлогом борьбы за дефективность обеспечивающим практическую невозможность правильного решения.
ЗЫ: Но вообще это — печальная и глобальная тенденция.
вы очень витиевато говорите про говнокодеров и уебмакак
Вы совершенно напрасно выводите из рассмотрения кармадрочерство дефективно-управленцев.
А ведь оно обоснованно претендует на звание первопричины.
бить, бить, ещё раз бить по наглой рыжей роже, вне зависимости от мотивации причастных. Бить сильно, чтобы свои кривые ручки засунули обратно, от куда у этих инвалидов умственного труда они растут.
Страницы