Исключительно для тех долбоебов, да-да - именно долбоебов, которые НЕ понимают, что означает утечка данных ЕСИА, я трохи поясню:
1. Любые действа, инициированные через ЕСИА проходят по УСКОРЕННОМУ и УПРОЩЕННОМУ "алгоритму" проверки, т.к. считается, что их инициировал валидный "поциент". По русски - для части операций инициированных через госуслуги допустимо предоставить фоточки и сканы документов вместо оригиналов. Примеры - МФЦ, ЗАГС, паспортные столы, ГИБДД и т.д. т.п. Да, на каком-то этапе иногда(!) требуются оригиналы, но далеко не всегда и не везде, ибо ЕСИА сделана именно для УПРОЩЕНИЯ бумажной волокиты и авторизация через нее по умолчанию наделена вполне определенной степенью доверия и те недостающие "регалии" и "реквизиты" поциента, дабы "не заставлять его таскать кучу бумаги" подсасываются из базы ЕСИА.
2. Через ЕСИА возможна инициация процедуры выпуска и перевыпуска ЭЦП для физ. и юр. лиц. Как у нас "идентифицируют" личности в удостоверяющих центрах, когда заявка пришла из ЕСИА? Да НИКАК! Любой хер мамин БЕЗ документов может прийти и сказать, что он Иван Иванов, с госуслуг заявку оставлял и ему ВЫДАДУТ ЭЦП-щку на физика или юрика. Идентифицировать его в удостоверяющем центре никто не будет (особенно, если ЭЦП на юрика), ибо у них нет доступа к базам (естественно), ибо они просто генерят пары ключей и вяжут их на аккаунт ЕСИА. Переводя на русский язык - ЭЦП для физика - это примерно представьте, как будто по улице ходит человек с копией вашего паспорта и ЛЕГАЛЬНО вклеенной туда фотографией ЕГО морды, т.е. говоря по простому - на определенном этапе вы ЗАЕБЕТЕСЬ доказывать - что вы это вы, а он это нихуя не вы. То что можно "в тихую" перепривязать номера телефонов подтверждения авторизации на свои, а затем спокойно продавать имущество, открывать фирмы, закрывать фирмы, инициировать проверки, сдавать поддельную отчетность, подавать заявления на смену юр.адреса, учредителей, режима налогообложения я просто молчу... Зачем? Ну например что-бы ГАРАНТИРОВАННО и БЕЗБОЛЕЗНЕННО убрать конкурентов по бизнесу? (понятно, что подлог будет выяснен через какое-то время, но контору это уже не спасет, т.к. время уходит безвозвратно, утянув с собой репутацию)
3. Куча интернет-сервисов, беззаветно доверяющих авторизации с ЕСИА. Перевести пенсию в левый НПФ? Пожалуйста! (достаточно только аккаунта ЕСИА). Вывести остатки бабла (переплаты) на ЛЮБОЙ счет с ЛК налоговой - пожалуйста! (достаточно только аккаунта ЕСИА). Заявление на развод? Пожалуйста. На брак? Пожалуйста. Смешно? А представьте, если вам внезапно придет на телефон сообщение о том, что ваша жена подала на вас на развод? Хи-хи-хи? Вот она рядом лежит и смеется? А если вы с ней вчера посрались по мелочному поводу и она с вещами убыла к маме?... вы также смеяться будете, получив такое сообщение?... Далее: авторизация СБИС/КОНТУР/1С-отчетность/ и иже с ними - достаточно наличия ЭЦП в руках... любых руках... ЭЦП (см. выше) получаем через ЕСИА. Выдача доверок на "право подписи" (электронной) на самом поратале ЕСИА - пожалуйста. Подключить/отключить интернет/тиливизор/тилифон/привязать симку (да-да!!!) - подтверждения ЕСИА достаточно. Кое у кого взять кредит - подтверждения ЕСИА достаточно.
...мало?
...тогда добавьте к этому еще один факт: некие мутные личности ДОСКОНАЛЬНО знают ВСЕ актуальные сведения о Вашей тушке и все Ваших телодвижениях: где живете (а не где "прописаны"), с кем, куда дети в школу ходят, в какую поликлинику, как их (детей) зовут, как зовут учительницу, как зовут твою жену, мать/бабку (да-да-да! "девичья фамилия матери" будет уже не совсем надежным паролем)... т.е. вам это похуй, да? Не ВАШИ ЗНАКОМЫЕ это знают, а ВАШИ НЕзнакомые, которые в 99% случаев имеют целью сделать вам нехорошо. Фраза "да это и так все знают" на самом деле удел тупоголовго ебаната, который не понимает разницы: "все, да ни все". Даже банальная информация о том, что ты только-что продал тачку/квартиру/гараж - уже повод понять, что на тебе какое-то время висит "свободное бабло", которое можно попробовать 1001 способом с тебя отжать... и мне ОЧЕНЬ странно, что необходимо объяснять такие банальные вещи...
... продолжаете и дальше считать, что нихуя особенного не произошло? ну дело ваше... хорошо когда вы такие есть... и вас дохуя...
ЗЫ: ...плюсом НЕ ЗАБЫВАЕМ о том, что иметь на руках ВСЮ базу и иметь на руках данные на конкретного персонажа - это две большие разницы, ибо биг-дата, аналитика, телеметрия и т.д. - а это ПРОСТО ПИЗДЕЦ
ибо долбоебы даже не представляют, какую полезную информацию можно получать именно по СОВОКУПНОСТЯМ даных, а не по конкретным строчкам базы. Вы сами о себе столько не знаете, сколько можно узнать анализируя все "электронные следы" и "взаимосвязи", в которых вы "засветились"...
Это сообщение отредактировал treeton - 30.12.2019 - 07:46
yaplakal.com