Пользователей «Госуслуг» начали вынуждать устанавливать мессенджер Max — конечно «из-за растущего числа случаев мошенничества»

По рунету прокатилась волна сообщений о том, что у некоторых пользователей мобильной версии портала «Госуслуги» пропала возможность входить на него, не привязывая мессенджер Max. Безальтернативный вход через Max с большей вероятностью появляется у тех, кто не настроил двухфакторную аутентификацию при входе. Вариант входа без Max по-прежнему доступен в настольной версии сайта. Вскоре Минцифры РФ объяснило, что начало отказываться от СМС для входа на «Госуслуги».


Части пользователей «Госуслуги» при попытке входа через смартфон предлагают привязать мессенджер Max в принудительном порядке, и отказаться от этого не получается. Обновление механизмов входа на портал, вероятно, развёртывается постепенно, и оно не зависит от того, завёл ли пользователь учётную запись в мессенджере. Окно с привязкой Max выводится пользователям, которые не настроили двухфакторную аутентификацию — если это сделать, то аккаунт в мессенджере можно не заводить. Сложность в том, что выполнить эту операцию можно лишь в том случае, когда вход в аккаунт уже произведён, например, если приложение «Госуслуги» уже установлено на смартфоне.

Более надёжный вариант, который пока работает у всех пользователей — зайти на портал через компьютер или принудительно загрузить настольный вариант сервиса на смартфоне. В таком случае по-прежнему доступно подтверждение входа кодом из SMS.

Если зайти на «Госуслуги» всё-таки получилось, можно включить вход через специальное приложение-аутентификатор. Для этого необходимо перейти в настройки профиля и выбрать вход с подтверждением — вариант «Одноразовый код». Для работы с этим вариантом потребуется приложение-аутентификатор, например, «Пароли» из комплекта Apple iOS 26 или Google Authenticator для Android.

На iPhone потребуется открыть приложение «Пароли», выбрать сохранённый пароль для входа на «Госуслуги» или задать его вручную, открыть этот пароль и нажать «Изменить» в правом верхнем углу, после чего выбрать «Настроить код». На последнем этапе в приложение-аутентификатор необходимо вставить код настройки из «Госуслуг», получить у приложения шестизначный код и ввести его при входе в «Госуслуги» — этот код меняется каждые 30 секунд.

Также после первого входа в мобильное приложение «Госуслуг» можно включить подтверждение входа по биометрии — отпечатку пальца или скану лица.

Обновлено:

Вскоре после массового появления сообщений о данной ситуации в Минцифры заявили, что ведомство начало постепенно отказываться от подтверждения входа на «Госуслуги» через SMS — объяснили это растущим числом случаев мошенничества.

«Из-за растущего числа случаев мошенничества, когда пользователи "Госуслуг" непреднамеренно передают СМС-коды для входа на портал, было принято решение постепенно отказаться от подтверждения входа на портал через СМС — пока это решение касается только входа на «Госуслуги» через мобильные устройства», — сообщили в ведомстве.

В ведомстве уточнили, что для настольной версии «Госуслуг» по-прежнему доступен вход через SMS.

Источник

Подобная   ещё и на сайте book24 и читай-города - вход через тинькоф id, по нескольку раз приходится пропускать/начинать вход заново, пока по паролю не пропустит....заколебали уже...

Установил нормально работает! Все ОК! Но мнение чистильщиков унитазов с удовольствие почитаю иииии ПОРЖУ!)))

Roger48 писал(а):

Вы их администрировали хоть раз и пытались там порядок навести? Дневник.ру был когда-то отдельным сервисом со своей базой данных. Тогда это было удобно. Потом начали натягивать одно на другое, носиться с чатами и показателями по переходу, перевели дневник.ру на госуслуги, потом это все глючило время от времени, параллельно напридумывали цифровых ресурсов, электронных школ и прочего... и не никак не могут успокоиться... и ребенку от всего этого пользы 0, и у администрации школы и педагога куча времени съедается.

Захожу туда постоянно проблем никаких нет, все предельно просто и удобно. Зачем плодить кучу разнородных баз, все подтягивается с одной через API, это в разы удобнее, быстрее и безопаснее.

swenki писал(а):

Какие-то мошенники навязчиво предлагают установить какой-то МАХ. А его даже в google play нет. Требую разобраться и наказать виновных.

Ой-ой-ой, юмор кому за 100?

Если серьезно, то правильно делают, СМС (SS7) уязвимы, реальные прецеденты существуют.
Только очевидно нужно чтоб MAX был надежнее (хотя бы криптографически). Но он полностью "в своих руках". Поэтому да, правильно.

Warhamer писал(а):

Roger48 писал(а): Вы их администрировали хоть раз и пытались там порядок навести? Дневник.ру был когда-то отдельным сервисом со своей базой данных. Тогда это было удобно. Потом начали натягивать одно на другое, носиться с чатами и показателями по переходу, перевели дневник.ру на госуслуги, потом это все глючило время от времени, параллельно напридумывали цифровых ресурсов, электронных школ и прочего... и не никак не могут успокоиться... и ребенку от всего этого пользы 0, и у администрации школы и педагога куча времени съедается. Захожу туда постоянно проблем никаких нет, все предельно просто и удобно. Зачем плодить кучу разнородных баз, все подтягивается с одной через API, это в разы удобнее, быстрее и безопаснее.

так это и есть "плодить кучу разнородных баз" - был себе нормальный "дневник", который нужен только пока учится ребёнок.
сделали вход через госуслуги - даже хорошо, хотя мне и логина-пароля достаточно, всё в этот "дневник" я уже два года не захожу по указанной причине - незачем.
а вот перетаскивание в сферум, вк-мессенджер, теперь макс - это "куча разнородных баз", которые теперь пытаются через костыли объединить, а они не объединяются, потому что разнородные...

вход куда угодно через госуслуги - хорошо, даже отлично!
вход в госуслуги через "что угодно" - "как будто чужой смотрит прямо в душу"

Добавлено спустя 6 минут 38 секунд:

Diltox писал(а):

Если серьезно, то правильно делают, СМС (SS7) уязвимы, реальные прецеденты существуют. Только очевидно нужно чтоб MAX был надежнее (хотя бы криптографически).

вот именно - должен быть надёжнее, но его уже делает контора, которая всё превращает в "месиво", и даже макс сделан из готового "месива" этой же конторы, которая уже десятки раз сливала личные данные и просто "уведомляла", что "необходимо сменить пароль".
макс делает контора, которая автомат привязывает вкид - потому что номер совпал, при этом вполне может привязать чужой вкид и дать этому чужому доступ к максу. потому что номер когда-то был, а теперь совпал.
эта контора уже обделалась с рекурсией "вход в почту через вкид, вход в вкид через почту"

Warhamer писал(а):

Захожу туда постоянно проблем никаких нет, все предельно просто и удобно.

Все было бы хорошо если бы так просто и было бы еще время, многим бы ваш оптимизм. Все это пол беды или четверть, вот до недавнего времени школам еще приходилось пилить сайт или покупать готовый и поддерживать его безопасность чтоб не хакнули какими-нибудь sql-инъекциями или через уязвимости, теперь дают хостинг на базе госуслуг, однако он не работает с базами данных mysql сторонних сайтов, а может и работает, но поди там еще разберись как не спец, и все придется ручками перекидывать... и то еще не все... и чуть где расслабишься, потеряешь форму - директору проверки-штрафы или разнос от минобра...

Цитата:

но его уже делает контора, которая всё превращает в "месиво"

Здесь в первую очередь важна квалификация заказчика, который заказывает музыку и танцует эту девушку, репутация которой вызывает у вас сомнения. Любой исполнитель должен быть контролируем в своих творческих порывах. И уж тем более не ему формировать требования безопасности в подобном продукте.

На текущий же момент, при опыте полноценной уже эксплуатации, каких-то серьезных проблем именно с безопасностью вроде как замечено не было. Что уже неплохо для нового, столь крупного и ответственного проекта. И даже если предполагать их возможность в будущем, что для всего IT к сожалению чуть ли не в порядке вещей, то реакция и действия тоже в первую очередь будут зависеть от заказчика-эксплуатанта, а не исполнителя. Как собственно и общая ответственность. То есть государства, которому на пространстве родных осин доверия все же больше, чем коммерческим акторам, больше несравненно.

да пока робит вроде.. НО я таки попытался подключить те самые коды (ТОТР) из гугл аутентификатора (из яндекса тож)
- из услуг копирую ключ - вставляю его в ГуглАутентификатор - присваиваю имя новой строчке - копирую код аутентификатора, иду обратно в ГосУсл - вставляю в поле кода (под №4) - выходит ошибка 0 код неверен... и так неск раз.... кто нить сделал?

Сейчас крутая тема у гос услуг это доверительный контакт. Типа двухфакторка приходит доверительному контакту. Подключил родителей и жену. Теперь любые действия в гос услугах требует код, а код приходит мне.

Пока это один вариант как защитить близких.

Warhamer писал(а):

ALiMa_NeW писал(а): С телефона без макса не могу зайти, теперь только с пк. Так и в лк налоговой с телефона без макса не зайти, так как вход через гос услуги. Снес приложения и гос услуг и налоговой. Буду с пк заходить, спасибо за заботу. Если у тебя в макс кидает сообщение, зайди в госуслугах в настройки безопасности профиля, вход в систему, вход с подтверждением, переключи на одноразовый код (TOTP) и сохрани, переключи обратно на смс вход теперь будет приходить обычные сообщения вместо сообщений в макс. Не благодари.

Не помогло. Хотя вход по одноразовому коду удобен, оставлю так, спасибо.

Di-332-ma писал(а):

kx77 Для примера можно взять Китай.

И что в этом хорошего?

принуждать

если Макс взломают мошенники, они получают полный доступ на Госуслуги?

аббревиатура МАХ - Мессенджер Агрессивного Хейта

или вот еще вариант

МАХ - Мопед Административных Хотелок

"Мопед не мой, я просто разместил объяву"... если кто помнит