MAX, номер телефона и все-все-все
[ФСБ не разрешила подключить мессенджер MAX к «Госуслугам» из-за угроз безопасности] (2025-08-07)
[Пользователи мобильного приложения «Госуслуги» на Android не могут зайти в госсервис без кода из Max] (2025-12-05)
что ж… с наступающим всех получается…?
привет. Это снова Тима. И… я тут, чтобы немного поговорить о наболевшем за последнее время.
обычно я пишу про Linux, интересные утилиты (πfs, wine к примеру) и прочие технические радости жизни. Но сегодня хочу поговорить о том, что реально задевает. Те новости, которые я кидал выше - стабильно прилетают мне в мой RSS-reader почти каждую неделю. Удручающе… Потому что как бы я ни настраивал фильтр, чтобы мне такие новости от слова совсем не попадались даже мельком на глаза, а нет, всё равно проскочат.
я не буду распинаться тут “We Are literally Living in Orwell’s 1984”, думаю вы тоже устали от такого сравнения текущей реальности. Просто хочется порассуждать на тему, связанную с новостями выше, так как мне, как технически подкованному человеку, становится довольно жутко от реализации таких идей и пропихивания их без тормозов (их уже давно сняли с нашего поезда)… так что едем только вперёд!
Яйца в одной корзине: номер телефона как универсальный ключ
во-первых… противная идея того, что теперь вся наша жизнь завязана на привязке номера телефона почти ко всем ру-сервисам. Хочешь пользоваться картами? - привяжи номер телефона. Хочешь заказать доставку еды или что-то с маркетплейса? - привяжи номер телефона. Хочешь пользоваться соц. сетями? - привяжи номер телефона.
зачастую это подаётся как способ двухфакторной защиты аккаунта. Почти везде в ру-сервисах, где бы ты ни создал аккаунт, требуется связка в виде почта+пароль+номер телефона. Потерял доступ к почте, забыл пароль… не важно, у тебя ведь всегда есть твоя симка, через которую ты по СМС можешь восстановить аккаунт! не прелесть ли?
многие сервисы даже стали упрощать (привет 2GIS). Почта больше не нужна, теперь нужен только твой номер телефона.
и так мы продвигаемся к идее, где номер телефона становится одним из главных источников и возможностей входа куда-либо. Справедливости ради… такое происходит не только у нас. Но не в этом суть.
Проблема “мёртвых душ”, или почему номер не принадлежит тебе
почему я вижу в этом что-то плохое? Я не буду упоминать сейчас проблему в удержании всех яиц в одной корзине (ружьё для этой темы заведём заранее)… скорее речь про полное отсутствие как таковой безопасности в этой идее.
вы никогда не задумывались о том, сколько “мёртвых душ” (большой привет от Гоголя!) содержит конкретно ВАШ номер телефона? Вы недавно оформили, вроде бы на себя, симку. Спокойно пользуетесь, звоните, регистрируете в сервисах. Как вдруг… в очередном сервисе вас тыкают носом… что этот номер телефона у них уже зарегистрирован: “Не хотите ли вы восстановить доступ к аккаунту?”
… и тут буквально может быть любой сервис. Банк, социальная сеть, мессенджер, маркетплейс, онлайн-магазин и т.д. Буквально, с приобретением нового номера, в зависимости от того, насколько безалаберным был прошлый владелец, вы можете получить доступ к его сокровенной информации: кредитные или дебетовые карты, место жительства, счета, контакты и т.д. То, доступ к чему вы никогда не должны были получить.
и такое может произойти с вами. Ваш оператор вполне спокойно может переместить вроде бы ваш, оформленный через паспорт на вас, номер телефона в пул свободных, а потом при новом оформлении отдать новому владельцу… И если вы не предусмотрели отвязку этого номера или удаление аккаунтов… Что ж… вы больше не владелец своих данных, я вас поздравляю.
MAX как “решение” проблемы безопасности
и тогда идея отказаться от СМС-подтверждений в Госуслугах становится справедливой, не так ли? если это недостаточно безопасно, то это стоит заменить!
если вы не совсем с техникой на “Вы”, вы подключите вероятно TOTP-коды (то есть будет стоять у вас какое-нибудь приложение по типу Google Authenticator, который будет генерировать для вас одноразовый код, и вы по нему можете входить. В этой схеме тоже есть свои проблемы, потому что приложение может стоять на том же телефоне, где и пытаются войти в приложение… но не об этом). Либо же… как сейчас предлагают законотворцы - подвязать MAX.
не буду говорить о своём отношении к данному мессенджеру, потому что уже все всё высказали.
вроде бы теперь идеально? Госуслуги теперь в безопасности. Чтобы войти туда, мошеннику понадобится иметь не только кредиты для входа в Госуслуги, но и кредиты для входа в MAX! целых две стены обороны. Остаётся ведь только бояться возможных случаев слива данных, которые никогда не происходили у сервисов гос. сектора, ведь так?
Замкнутый круг: MAX требует… номер телефона
но… давайте заглянем ещё глубже. Что у нас там требуется для входа в MAX?
А… номер телефона.
то, что тебе не принадлежит. То, что можно у тебя отобрать и отдать другому. То, что можно спокойно даже потерять… номер телефона.
законотворцы, минцифры и просто конченные люди открыли огромную брешь в безопасности и так хлипкого в такой теме сервиса, как Госуслуги. Они отдали процесс аутентификации какой-то ООО-шке («Коммуникационная платформа», или же ООО «Ни*уя себе»), которая финансируется из гос. бюджета. Гениально. Дайте два.
мне в особенности понравился один комментарий по этому поводу:
А где логика, если для безопасности пользователей доступ к ГосУслугам ограничен (допустим из-за подозрений в скомпрометированном доступе), но можно завести новый аккаунт в Max при наличии этого “скомпрометированного” доступа. Это как если автомобиль не заведётся если вскрыли дверь (ключа иммобилайзера то нету у воришки), но можно пойти в автосалон, показать фотографию, что дверь автомобиля открыта и вам просто выдадут новый ключ.
прекрасная аналогия, прекрасная критика. Обожаю такое.
закручивание гаек: блокировки на три дня
и такая тенденция будет продолжаться вероятнее дальше. Вот, сейчас уже закручивают гайки тем, кто ещё старается упрямиться и сопротивляться новшествам. Ой, вы хотели бы оплатить налоги, сделать выписку или же просто войти в какой-то сервис, который требует вход через Госуслуги? Что ж… ловите блокировку на 3 дня, мы нашли что-то подозрительное в ваших действиях.
но мы предлагаем решение этой проблемы, которую сами и создали - привяжите MAX! И тогда мы все ваши грехи отпустим, пока что.
так противно, что выворачивает.
добивать и так ширпотреб-сервис новой, спорной инициативой… Молодцы, что уж сказать.
и такую инициативу будут пропихивать, вероятно, везде. До той поры, пока законотворцы не положат как раз все яйца в одну корзину, создав не только единый цифровой идентификатор, но и единую точку контроля и слежки. Добро пожаловать в мир, который мы и создали.
я… не придумал, к чему тут подвести по итогу. Всё становится каким-то переусложнённым, слоёванным и ненадёжным? Да. Ждёт ли нас в будущем что-то хорошее или же стабильность? Возможно, но я не уверен.
на самом деле я просто устал, и хотел немного вылить стресс последних месяцев таким лонгридом. Спасибо, что дочитали его до конца (。•́︿•̀。)
желаю всем всех благ, новогоднего настроения, и с наступающими праздниками, всех целую и приятной недели.