У вівторок, 12 травня, соціальні мережі сколихнула інформація про появу в соціальній мережі Telegram-бота, що володіє величезними масивами даних про жителів України, починаючи від ПІБ і закінчуючи паспортними даними та кредитною історією. Користувачі зв'язали появу бота з функціонуванням кабмінівського додатки "Дія", покликаного систематизувати всі документи в одному смартфоні. "Апостроф" розбирався, що сталося і як дійсно держава передає шахраям інформацію про українців.
Дія не діє
Сайт та додаток "Дія" є єдиним державним веб-порталом електронних послуг, а також ключовим сервісом в проекті "держава в смартфоні". Вони об'єднують в собі всі послуги, які надає держава громадянам і бізнесу. За три місяці роботи мобільний додаток "Дія" скачали більше 3 млн користувачів. ID-карти і закордонні паспорти в додатку прирівнюються до своїх звичайних паперових аналогів. Також в додаток можна завантажити документи на автомобіль.
Віце-прем'єр міністр, міністр цифровий трансформації України Михайло Федоров після інциденту заявив, що оприлюднена за допомогою Telegram-бота персональна інформація користувачів не пов'язана з роботою "Дії".
"Це неможливо навіть теоретично! По-перше, і найголовніше: "Дія" не має бази даних і не накопичує таку інформацію. По-друге, кількість інформації, яка доступна в зазначеному боті, набагато, в десятки, а то і сотні разів, перевищує ту, з якою працює "Дія", - заявив Федоров.
Він також повідомив, що попередній аналіз інформації бота свідчить про використання старих баз даних, які вже не один рік доступні в даркнеті (прихована мережа, з'єднання якої встановлюються з використанням нестандартних протоколів і портів).
"Зокрема, мова йде про базу даних ПриватБанку, а також інших приватних (недержавних) баз даних. Наприклад, в боті доступні паролі від ВКонтакте, Linkedin", - підкреслив міністр цифровий трансформації.
Питання до додатку почали виникати ще давно. Експерти спочатку були не впевнені в його відповідності загальносвітовим стандартам.
"У розмові доречно згадати приказку "бігти попереду паровоза". Саме це і відбувається з нашою цифровизацією. У спробах спростити процедури і зробити їх більш прозорими, держава забуває про необхідність провести перевірку безпеки цих систем. Для запуску подібних додатків необхідно обов'язково провести сертифікацію, при цьому контроль відбувається окремо від виробника. Незважаючи на повну законодавчу базу для цього, ігнорується необхідність проведення сертифікації. Перша експертиза системи "Прозорро" показала, що розробка проводилася "на колінах" і сама процедура суперечить стандартам", - повідомив в коментарі "Апострофу" експерт з кібербезпеки Геннадій Гулак.
Гулак зазначив, що існує практика відкритого тестування надійності протоколів нових програм. Однак для програми "Дія" експерти не залучалися.
"Будь-який "замок" корисний тільки після проходження ним сертифікації. Наскільки нам відомо, в "Дії" цього ніхто не робив. У лютому додаток було створено, а в березні вже введено в користування. Хоча реально належна сертифікація може розтягнутися до 6 місяців", - зазначив експерт.
Тобто, без належної сертифікації зламати додаток і викласти дані в мережу може будь-який талановитий студент 3-4 курсу КПІ ім. Сікорського. І судячи з усього, саме це і було зроблено.
Хакерський шлях ідентифікації
"Апостроф" поспілкувався з фахівцями зі "злому" комп'ютерних систем і різних програм, яких обивателі називають хакерами і попросив дати оцінку протоколам безпеки державного додатки і придумати способи використання програми в шахрайських цілях.
"Для початківця хакера додаток зламати буде звичайно важко, але фахівець зайде без проблем. Навіть немає сенсу зламувати, можна просто написати схожий зовні додаток і, завантаживши в нього чужі дані зі своєю фотографією, використовувати. Припустимо, зробити адміністративне правопорушення і штраф випишуть на іншу людину", - повідомив фахівець з кібербезпеки.
Решта представників професії відзначили слабку захищеність протоколів додатки, відсутність складної системи аутентифікації і доступність копіювання даних.
"З професійної точки зору увійти в систему "Дія" не представляє особливої праці. Важливо пам'ятати, що ID-ідентифікація зараз використовується в основному для простих бізнес-операцій. Для операцій складніше необхідна багатофакторна аутентифікація. Сьогодні, умовно, якщо викрадають автомобіль зі смартфоном всередині, то для зловмисника нескладно показати на смартфоні техпаспорт, тим самим підтвердивши законність використання автомобіля ", - зазначив в коментарі" апостроф "експерт з кібербезпеки Геннадій Гулак.
"Суть не в тому, зливає дані "Дія" чи ні. Суть в тому, що Міністерство цифровий трансформації почало робити "Дію", а не систему комплексного захисту даних, початок робити "Дію", а не автоматизовану валідацію і зведення реєстрів, початок робити "Дію", а не працювати над скасуванням листочка А4 з пропискою, який треба носити з собою... і найголовніше, що цілий рік все собаки і кішки на районі говорили про захист даних міністерству, що було повністю проігноровано", - розповів CEO DevRain, кандидат технічних наук Олександр Краковецький.
В цілому, експерти та у справах захисту, і по злому даних сходяться на думці, що додаток "Дія", що реалізує блакитну мрію президента Зеленського про "державу в смартфоні", не є поки що надійним.
