Что не так с "Дія"? Киберэксперты назвали 22 существенных дефекта приложения
На днях эксперты по кибербезопасности составили и опубликовали в соцсетях документ, в котором перечисляют и поясняют уязвимости и недостатки сервиса "Дія". Публикацию разместил на своей Facebook-странице Константин Корсун, сообщает .
В документе, озаглавленном "Что не так с "Дія" специалисты в области кибербезопасности и телекома, заявляют, что приложение "Дія" "навязывают гражданам Украины как безальтернативное средство предоставления государственных электронных услуг". Эксперты утверждают, что приложение имеет ряд серьезных проблем, "как с архитектурной моделью, так и с качеством реализации".
"Украинские специалисты по кибербезопасности предупреждали о возможных проблемах еще до запуска первой версии "Дія". Отмечали серьезные недостатки также после публичного запуска этого приложения. Публично и непублично настаивали на недопустимости игнорирования существующих проблем. Но разработчики и идеологи "Дія" продолжают "не замечать" критики, и это уже приводит к реализации некоторых рисков", — говорится в документе.
Чтобы пояснить детально "что не так с приложением", эксперты собрали все факты и аргументы в единый документ, приведя такой перечень:
1. Существенные дефекты архитектуры приложения "Дія".
2. Обработка и хранение персональных данных в приложении "Дія".
3. Возможность перехвата и накопления персональных данных при проверке е-документов в приложении "Дія".
4. Возможные мошенничества с использованием "Дія".
5. Возможность следить за пользователями через приложение "Дія".
6. Риски дистанционного несанкционированного проникновения в смартфон ("взлом") с установленным приложением "Дія".
7. Невозможность самостоятельно заблокировать свой аккаунт в "Дія" (опция Opt-Out).
8. Риски фальсификации выборов в смартфоне с использованием приложения "Дія".
9. Риски "повесток через "Дія".
10. Риски отсутствия доступа к Интернету приложения "Дія".
11. Не все граждане могут пользоваться приложением "Дія".
12. Чрезмерная централизация системы и агрегация полномочий.
13. Отсутствие правил использования приложения и механизма контроля за соблюдением этих правил.
14. Игнорирование действующего законодательного регулирования с целью создания программных продуктов.
15. Создание искусственной монополии приложения "Дія".
16. Отсутствие в публичном доступе документации на приложение "Дія".
17. Отсутствие публичного доступа к исходному коду приложения "Дія".
18. Отсутствие информации о внешних независимых аудитах безопасности приложения "Дія".
19. Сомнительность объективности проведения государственной экспертизы приложения "Дія".
20. Неудовлетворительный уровень коммуникации разработчиков приложения "Дія" с пользователями и ИТ-специалистами.
21. Возможность неограниченного клонирования документов в приложении "Дія".
22. Непрозрачность порядка использования приложение "Дія" другими организациями.
Каждый пункт в документе расписан более подробно. Например, по первому пункту эксперты поясняют, что при создании приложения был нарушен один из базовых принципов в области электронной идентификации – разграничение инструментов идентификации по уровням доверия.
"Например, для идентификации пользователя высокого уровня доверия, которым должен быть владелец цифрового паспорта, в "Дія" разрешено использовать BankID – программным инструментом со средним уровнем доверия. Однако неоднократно было доказано, что BankID в нынешнем виде не обеспечивает достаточной безопасности и уязвим для примитивных атак", — говорится в документе. "В любых обстоятельствах электронный идентификационный документ, например, электронный паспорт для выезда за границу, – должен быть защищен исключительно средствами наивысшего уровня доверия, чего нельзя сказать о действующем приложении "Дія".
Это заявление подтверждается реальными случаями мошенничества, когда BankID был скомпрометирован и аферисты смогли зайти в "Дія" жертв, о чем в нескольких материалах рассказывал.
Под документом подписались Андрей Баранович, Андрей Перцюх, Артем Карпинский, Константин Корсун, Кир Важницкий, Александр Мацько и Роман Химич.
Кулеба исключает особый статус для Донбасса на условиях России