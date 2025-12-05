Хакер #318. Pentest Award 2025
Пользователи заметили, что после обновления в мобильном приложении «Госуслуг» для Android пропала кнопка «Пропустить» при авторизации, и для входа в систему требуется установка мессенджера Max. Представители «Минцифры» подтвердили, что ради борьбы с мошенничеством принято решение постепенно отказаться от подтверждения входа на портал через SMS.
Судя по отзывам в официальном магазине Google Play, на этой неделе пользователи столкнулись с тем, что приложение «Госуслуги» требует подтверждения входа через мессенджер Max. Ранее от этого приложения можно было отказаться с помощью кнопки «Пропустить», однако теперь кнопку убрали.
Как видно на скриншотах выше, представители Минцифры РФ отвечали, что это не сбой, а нововведение, призванное сократить риски перехвата SMS-сообщений и кражи учетных данных:
«Для минимизации рисков перехвата SMS и кражи учетных данных Госуслуги переходят на более безопасный способ аутентификации. Подтверждение входа по SMS останется доступным для тех пользователей, у которых нет смартфона и которые не могут установить приложение Max», — отвечали разработчики приложения.
При этом поддержка приложения порой противоречила сама себе, и в некоторых ответах пользователям сообщали, что установку мессенджера можно пропустить.
Сегодня, 5 декабря 2025 года, представители Минцифры РФ опубликовали официальное заявление, в котором сообщили, что начат постепенный отказ от подтверждения входа на портал «Госуслуги» через SMS ради борьбы с мошенничеством. Ниже цитируем сообщение министерства полностью.
«Двухфакторная аутентификация эффективно защищает информационные ресурсы от несанкционированного доступа. На Госуслугах можно выбрать один из нескольких вариантов подтверждения входа.
Из-за растущего числа случаев мошенничества, когда пользователи Госуслуг непреднамеренно передают СМС-коды для входа на портал, было принято решение постепенно отказаться от подтверждения входа на портал через СМС — пока это решение касается только входа на «Госуслуги» через мобильные устройства.
Варианты второго фактора защиты
- с помощью одноразового кода в мессенджере МАХ
- с помощью одноразового кода из специального приложения
- по биометрии
- СМС — только для пользователей десктопной версии Госуслуг
Преимущества кода в МАХ
Этот способ имеет дополнительную защиту от социальной инженерии — перед получением кода чат-бот задаст вопросы, которые помогут выявить злоумышленника. Если ответы вызовут подозрение — он не выдаст код и предупредит об опасности. Подключить в качестве второго фактора защиты одноразовый код в МАХ можно на баннере при входе на портал или в приложение «Госуслуги».
В разделе «Безопасность» можно выбрать другие варианты дополнительной защиты вместо кода в Max — одноразовый код из приложения на вашем устройстве или вход по биометрии.
Обратите внимание, вводить логин, пароль и второй фактор защиты при каждом входе в мобильное приложение «Госуслуги» не нужно — сессия длится 6 месяцев».
Пользователи уже нашли несколько способов избежать установки Max. К примеру, на Android-устройствах можно открыть сайт «Госуслуги» в версии для ПК.
Также изменить настройки двухфакторной аутентификации можно в личном кабинете. В разделе «Безопасность» → «Вход в систему» доступны альтернативные варианты: вход с подтверждением через SMS или с помощью одноразового кода TOTP (потребуется приложение Google Authenticator или «Яндекс Ключ»). Однако для изменения этих настроек все равно придется сначала войти в аккаунт — либо через Max, либо на десктопе или через браузер.