Злоумышленники могут в «Дія» клонировать е-документы… Но это фича, а не баг!
Однажды владыка Минцифры Михаил Фёдоров сказал: «Роль кибербезопасности немного преувеличена». Это можно сделать девизом «Дія», ведь её безопасность, мягко говоря, сосёт.
Предыстория
Для тех, кто в танке: «Дія» — государственная приложуха с цифровыми документами.
Она всячески навязывается украинцам как очень удобный и безопасный сервис, у которого даже нет собственных баз данных.
И вот, первые украинцы уже начали чувствовать «прелести» диджитализации:
На имя гражданки Украины Людмилы Ж. через приложение «Дія» взяли кредит, оформление которого невозможно без применения ЭЦП. Проблема в том, что пани Людмила не брала кредит, не ставила электронную подпись и даже не имеет ID-карты — у нее до сих пор обычный бумажный паспорт, а потому приложением «Дія» она не пользуется. Людмила поначалу не могла решить этот вопрос, обращаясь и в службу «Дія», и в Нацбанк, и в киберполицию.[…]В Минцифры полагают, что у Людмилы Ж. «украли телефонный номер, получили доступ к ее банковскому аккаунту, подтвердив вход с личной почты. Далее с помощью скомпрометированного доступа к BankID состоялась авторизация в мобильном приложении «Дія».Однако представители министерства уверяют, что подобный взлом «не мог бы завершиться получением кредита с помощью цифрового паспорта, если бы финансовое учреждение грубо не нарушило правила, установленные НБУ. В правилах этого финучреждения указано подтверждения личности человека с помощью фото, чего, очевидно, не было сделано».Также в министерстве настаивают на том, что после данного инцидента были приняты необходимые меры для обеспечения безопасности, — «сразу после этого случая, еще в апреле, Минцифра отсоединила все кредитные учреждения от приложения «Дія» и обратилась к НБУ с просьбой осуществить внеплановую проверку финучреждений и предоставить подтверждения нарушений».
То есть вместо того, чтобы вложить бабки в решение проблем финучреждений, госмужи продолжают «диджитализацию»? Ту самую, которая без нормальной работы финучреждений нахуй не нужна?
Эксперимент
Давече некто Роман Химич решил на практике проверить прогу на уязвимость, а именно: можно ли открыть документы на двух устройствах одновременно. По заявлениям разработчиков это невозможно.
Была не была! Если не мы, то кто же? Вооружившись собственной BankID Привата, активирую первую копию Дии. В ней появляются заграничный паспорт и налоговый номер. Вторую копию ставлю в защищённую область памяти смартфона. Это, по сути, своего рода «песочница» (sandbox), изолированная область операционной системы, в которой можно, например, инсталлировать вторую копию программы, которая не поддерживает переключение между учётными записями. Ввожу данные BankID — получилось! У меня на руках — сразу две полнофункциональные копии «Дии» (см. снимок).
Как такое может быть?У меня большая голова, 62 размер, придумать пару вариантов не проблема. Проблема их проверить. Была не была, беру планшет и активирую третью копию (см. скриншот)!Итак, вопреки утверждениям представителей ГП Дия и здравому смыслу мне удалось клонировать свои э-документы. Это очень плохая новость с точки зрения безопасности. Злоумышленники могут без проблем завладеть полнофункциональными документами граждан для совершения самых разных противоправных действий.При активации очередного экземпляра «е-документов» на уже установленные копии Дии приходят соответствующие уведомления. Однако возможности подтвердить или отвергнуть эту операцию у пользователя нет. Если дело происходит ночью, вы узнаете о произошедшем только утром, имея на руках ворох оформленных от вашего имени кредитов. Полчаса — час и всё готово.
Диджитализация в деле.
Далее Роман задал вполне логичные вопросы:
В этом месте было бы хорошо отметить представителей Міністерство цифрової трансформації України и Дія чтобы задать хотя бы наиболее значимые вопросы:
1. Как так получилось, что в ГП Дия не знают о принципиальной особенности «е-документов», а именно о возможности их клонирования?
2. В картине мира, которой руководствуется ГП Дия возможность клонирования это фича или бага?
3. Отлучение МФО от использования «е-документов», о которых сообщали СМИ носит безусловный и бессрочный характер или МЦТ определило критерии восстановления доступа? Если да, то что это за критерии?
4. Сколько всего договоров в МФО было оформлено с использованием «е-документов» за всё время? Банковских кредитных соглашений?
5. Почему МЦТ ограничилось отключением только МФО? Какая разница, что именно будут делать злоумышленники с помощью чужих «е-документов», заключать кредитные соглашения или получать чужие денежные переводы? Получать чужие отправления в Новой Почте? Переоформлять чужие телефонные номера на контракте?
6.ЧТО ИМЕННО МЕШАЕТ МЦТ И ГП ДИЯ РЕАЛИЗОВАТЬ ДЛЯ ПОЛЬЗОВАТЕЛЕЙ ВОЗМОЖНОСТЬ ОТКАЗА ОТ Е-ДОКУМЕНТОВ? ПОЛНОГО ЗАПРЕТА НА ИХ АКТИВАЦИЮ?
Не баг, а фича!
Минцифры не остались в стороне, а ответили Роману.
Мол, это всё менеджер ошибся. На самом деле использование программы с нескольких устройств является фичей! А то, что говорили до этого, — это всё пиздёж от некомпетентного менеджера, которого уже уволили нахуй.
«О скрине. Это ошибка нашей службы поддержки, менеджер уволен», — сообщили в Минцифре.Также в Минцифре опровергли информацию о возможности пользоваться приложением только с одного устройства. «Документами в Дие можно пользоваться на разных устройствах. Для того, чтобы обеспечить безопасность приложения Дия, мы разработали logout-авторизацию. Мы использовали технологию ФотоID. Вам достаточно будет сделать идентификацию лица и продолжить сесию», — говорят в Минцифре.Все документы, по данным пресслужбы, при этом будут сохранены.
Другие траблы с «Дія»
К комментарию к посту в Facebook несколько пользователей выложили свои истории об уязвимостях при использовании e-документов.
ещё в продолжение темы кибербезопасности и защиты персональных данных.Работая пару месяцев назад с одним клиентом по регистрации ФЛП для консультантов, нашли такую уязвимость:1) есть категория граждан, которые отказались от ИНН, идентификация таких лиц осуществляется по реквизитам паспорта.
2) в поле ИНН у таких граждан проставляется десять нулей; это реализовано и в Дія, т.е. об отказе от ИНН информацию подтягивает автоматически.
3) в Услугах есть продукты, где необходим ИНН (например, регистрация ФЛП).
4) если заполнить форму продукта, но не завершить подачу заявки, форма сохраняется в Черновиках.
5) далее, когда заходишь в Черновики, видишь все заполненные, но не поданные формы ВСЕМИ пользователями с нулями в графе ИНН. То есть ИНН сделали уникальным идентификатором, но не учли, что примерно у 150-200 тысяч людей он одинаковый (остаётся только догадываться, сколько зарегистрировано в Дія).
6) соответственно, если поклацать формы, можно найти массу персональных данных; у нас загружалось максимум то ли 10, то ли 20 страниц в Черновиках, всегда разные.[…]Покупал новый телефон. Уже и забыл что на старом была установлена Дия. Поставил на новый телефон Дию, авторизоваться через универсал — залогинило. Еще в уведомлениях отображалась старая сессия и кнопочка «выйти везде» (включая новый девайс
). Это дно.
Интересно, сколько еще багов нужно найти, чтобы Минцифры и госмужи начали задумываться, что делают что-то не так?
Хотя зачем задумываться? Всегда можно обвинить кого-то другого: то финучреждения виноваты, то менеджер… А в следующий раз могут обвинить и самих юзеров.
По наводке Анонимуса По материалам Facebook