Во вторник, 12 мая, социальные сети всколыхнула информация о появлении в социальной сети Telegram-бота, обладающего огромными массивами данных о жителях Украины, начиная от ФИО и заканчивая паспортными данными и кредитной историей. Пользователи связали появление бота с функционированием кабминовского приложения "Дія", призванного систематизировать все документы в одном смартфоне. "Апостроф" разбирался, что произошло и как действительно ли государство передает мошенникам информацию об украинцах.
Дія не діє
Сайт и приложение "Дия" являются единым государственным веб-порталом электронных услуг, а также ключевым сервисом в проекте "государство в смартфоне". Они объединяют в себе все услуги, которые предоставляет государство гражданам и бизнесу. За три месяца работы мобильное приложение "Дия" скачали более 3 млн пользователей. ID-карты и загранпаспорты в приложении приравниваются к своим обычным бумажным аналогам. Также в приложение можно загрузить документы на автомобиль.
Вице-премьер министр, министр цифровой трансформации Украины Михаил Федоров после инцидента заявил, что обнародованная при помощи Telegram -бота персональная информация пользователей не связана с работой "Дии".
"Это невозможно даже теоретически! Во-первых, и самое главное: "Дия" не имеет базы данных и не накапливает такую информацию. Во-вторых, количество информации, которая доступна в указанном боте, намного, в десятки, а то и сотни раз, превышает ту, с которой работает "Дия", - заявил Федоров.
Он также сообщил, что предварительный анализ информации бота свидетельствует об использовании старых баз данных, которые уже не один год доступны в даркнете (скрытая сеть, соединения которой устанавливаются с использованием нестандартных протоколов и портов).
"В частности, речь идет о базе данных ПриватБанка, а также других частных (негосударственных) баз данных. Например, в боте доступны пароли от ВКонтакте, Linkedin", - подчеркнул министр цифровой трансформации.
Вопросы к приложению начали возникать еще давно. Эксперты изначально были не уверены в его соответствии общемировым стандартам.
"В разговоре уместно вспомнить поговорку "бежать впереди паровоза". Именно это и происходит с нашей цифровизацией. В попытках упростить процедуры и сделать их более прозрачными, государство забывает о необходимости провести проверку безопасности этих систем. Для запуска подобных приложений необходимо обязательно провести сертификацию, при этом контроль происходит отдельно от производителя. Несмотря на полную законодательную базу для этого, игнорируется необходимость проведения сертификации. Первая экспертиза системы "Прозорро" показала, что разработка проводилась "на коленках" и сама процедура противоречит стандартам", - сообщил в комментарии "Апострофу" эксперт по кибербезопасности Геннадий Гулак.
Гулак отметил, что существует практика открытого тестирования надежности протоколов новых программ. Однако для программы "Дия" эксперты не привлекались.
"Любой "замок" полезен только после прохождения ним сертификации. Насколько нам известно, в "Дие" этого никто не делал. В феврале приложение было создано, а в марте уже введено в пользование. Хотя реально надлежащая сертификация может растянуться до 6 месяцев", - отметил эксперт.
То есть, без надлежащей сертификации взломать приложение и выложить данные в сеть может любой талантливый студент 3-4 курса КПИ им. Сикорского. И судя по всему, именно это и было сделано.
Хакерский путь идентификации
"Апостроф" пообщался со специалистами по "взлому" компьютерных систем и различных программ, которых обыватели называют хакерами и попросил дать оценку протоколам безопасности государственного приложения и придумать способы использования приложения в мошеннических целях.
"Для начинающего хакера приложение взломать будет конечно трудно, но специалист зайдет без труда. Даже нет смысла взламывать, можно просто написать похожее внешне приложение и, загрузив в него чужие данные со своей фотографией, использовать. Допустим, совершить административное правонарушение и штраф выпишут на другого человека", - сообщил специалист по кибербезопасности.
Остальные представители профессии отметили слабую защищенность протоколов приложения, отсутствие сложной системы аутентификации и доступность копирования данных.
"С профессиональной точки зрения войти в систему "Дия" не представляет особого труда. Важно помнить, что ID-идентификация сейчас используется в основном для простых бизнес-операций. Для операций посложнее необходима многофакторная аутентификация. Сегодня, условно, если угоняют автомобиль со смартфоном внутри, то для злоумышленника несложно показать на смартфоне техпаспорт, тем самым подтвердив законность использования автомобиля", - отметил в комментарии "Апострофу" эксперт по кибербезопасности Геннадий Гулак.
"Суть не в том, сливает данные "Дия" или нет. Суть в том, что Министерство цифровой трансформации начало делать "Дию", а не систему комплексной защиты данных, начало делать "Дию", а не автоматизированную валидацию и сведение реестров, начало делать "Дию", а не работать над отменой листочка А4 с пропиской, который надо носить с собой… И самое главное, что целый год все собаки и кошки на районе говорили о защите данных министерству, что было полностью проигнорировано", - рассказал CEO DevRain, кандидат технических наук Александр Краковецкий.
В целом, эксперты и по защите, и по взлому данных сходятся на мысли, что приложение "Дия", реализующее голубую мечту президента Зеленского о "государстве в смартфоне", пока не слишком надежно.