Подделать результаты опросов в "Дія" - легко. Эксперты раскрыли новую уязвимость сервиса

Седьмого февраля 2022 года Кабинет министров Украины утвердил Порядок проведения социальных опросов через портал "Дія" и через одноименное приложение. Эксперты по кибербезопасности раскритиковали новую инициативу "дієвих", высказав опасения по поводу сбора персональных данных пользователей, а также возможности проведения "выборов в смартфоне", результаты которых, по их мнению, можно будет легко подделать. Фокус обратился к Минцифры, чтобы узнать, как будет проходить авторизация граждан, пожелавших принять участие в опросах через "Дія", какие данные, и кем, будут собираться и где потом будут храниться.

Как будут обезличиваться данные во время проведения опросов в "Дія"

Согласно пунктам 4 и 13 Порядка, опросы проводятся в электронной форме (анкета) либо на портале, либо в приложении "Дія". Как сообщили в Министерстве цифровой трансформации, результаты отображаются обезличенно в форме общих данных и отправляются вместе с сопроводительным письмом через систему электронного информационного взаимодействия органов исполнительной власти, а также на электронную почту, указанную инициатором опроса.

"Иными словами, инициатор не будет видеть никаких данных, кроме результатов опроса", — заявили в ведомстве и подчеркнули, — "Сервис опросов ("Дія" — ред.) не собирает никаких персональных данных, а только фиксирует и обрабатывает (подсчитывает) избранные результаты опросов".

По словам чиновников, прежде чем пройти опрос в мобильном приложении "Дія", нужно авторизоваться, и происходит это следующим образом:

• При авторизации пользователь получает уникальный обезличенный хэш-ключ.
• Обезличенный хэш-ключ формируется автоматически сервисом авторизации без участия человека.

На наш вопрос, что имеется ввиду под сбором обезличенных данных "отдельных категорий лиц", о котором упоминается в пункте 12 Порядка, в ведомстве ничего конкретного не ответили, а лишь подтвердили данный факт и подчеркнули:

"Персонал, разрабатывающий и обеспечивающий функционирование мобильного приложения "Дія", не работает с персональными данными пользователей".

Как, где и сколько будут храниться результаты опросов в "Дія"

В Порядке указано, что результаты опросов хранятся техническим администратором портала "Дія" (ГП "Дія" — ред.) в течение 3-х лет с момента их завершения. На вопрос Фокуса о том, почему выбран столь длительный срок хранения, в ведомстве сослались на Постановление КМУ от 07.02.2022 No 90 и пояснили, что "результаты опросов необходимо хранить для отображения архива проведенных опросов и их результатов".

На наш вопрос касательно защиты собранных данных, в Минцифры ответили, что они хранятся "в защищенной среде в зашифрованном виде и привязаны к обезличенному хэш-ключу с ограниченным доступом и логированием для отслеживания всех действий и подозрительных активностей, чтобы избежать возможности повторного участия в опросе и каких-либо манипуляций".

"При этом результаты опросов доступны всем пользователям, которые принимали в них участие, и их инициаторам. Пользователи и инициаторы могут использовать результаты по собственному усмотрению", — сообщили в ведомстве.

В Минцифры добавили, что защита информации осуществляется в соответствии с общими требованиями законодательства сферы защиты информации и в рамках, определенных Постановлением КМУ от 4 декабря 2019 г. № 1137 "Вопросы Единого государственного веб-портала электронных услуг и Реестра административных услуг".

"Также информируем, что обработка персональных данных в системах, обладателем или распорядителем информации в которых является Минцифры, осуществляется в соответствии требованиям Закона Украины "О защите персональных данных". Обработка персональных данных в пределах, определенных Регламентом GDPR, Минцифрой не осуществляется", — сказано в заявлении.

Мнение экспертов касательно защиты и обезличивания данных, собранных через "Дія"

Проясним, что такое хэш-ключ. Это входные данные абсолютно любого размера (ключ), свернутые (хэш) в строку определенного размера. Метод такого свертывания, или преобразования, называется хэш-функцией. Хэш-функция применяется при создании уникальных идентификаторов для баз данных, при сохранении паролей в виде хэш-кода или при генерировании электронной цифровой подписи.

Логирование — это запись логов (файлов, содержащих информацию о всех действиях софта и пользователей). При помощи логирования можно восстановить хронологию событий, отследить источники, понять, что послужило причиной сбоев, ошибок, атак извне.

Фокус поинтересовался у специалистов в области кибербезопасности, насколько надежным является метод авторизации при помощи хэш-ключа и сбора/хранения данных с привязкой к обезличенному хэш-ключу при условии ограниченного доступа и логирования?

Кир Важницкий считает, для того чтобы не допустить повторного прохождения опросов, необходимо четко логировать момент присвоения обезличенного хэш-ключа из-за чего по отметке времени в логе можно будет восстановить, кому именно хэш-ключ присвоен, даже если он не будет напрямую связан в базе с аккаунтом в "Дія".

"Это неразрешимое противоречие — либо логировать во избежание манипуляций, либо обезличивать. Даже если хранить эти данные в разных базах, получив одни данные, можно будет по цепочке восстановить связь с другими данными. Иначе, кто-то с доступом (тем самым, ограниченным) сможет "нарисовать" любые результаты в любом количестве и никто, (в том числе они сами) не сможет потом проверить, правдивы ли результаты, или нет", — сказал Важницкий.

Также эксперт напомнил о кейсе "Джо Байдена", указав, что до сих пор никто не дал ответа, кем была проведена эта манипуляция, "хотя логирование аутентификации с помощью ЭЦП или BankID — на порядок проще".

"Это все, что нужно помнить про "логирование для отслеживания всех действий и подозрительных активностей". А про "защищенную среду" очень хорошо свидетельствуют атаки 14 января", — подчеркнул Кир.

Андрей Баранович в комментарии Фокусу отметил, что обезличивание данных указанным Минцифрой методом "с технической точки зрения — бессмыслица".

"У Минцифры сохраняется возможность деанонимизировать любого пользователя. И если эту конструкцию кто-нибудь взломает, то и у взломщика такая возможность будет тоже", — пояснил Андрей.

Константин Корсун сомневается в том, что "среда", где будут храниться собранные данные, будет надлежащим образом защищена, и что данные действительно будут "обезличены".

"Такая схема защищает только от внешнего несанкционированного вмешательства. Да и то — многое зависит от ресурсов атакующего, ведь нет абсолютно защищенных крепостей, все можно взломать", — говорит Константин.

Он считает, что предложенная метода отнюдь не защищает от манипуляций со стороны организатора опроса. Ввиду того, что организатор обеспечивает безопасность "защищенной среды", он имеет доступ к собранным данным, к логам и, возможно, к базе хэшей.

"Очень много вопросов касательно конкретной реализации заявленного подхода. А дьявол, как известно – в деталях", — резюмировал Корсун.

Ранее мы сообщали о том, что в приложении "Дія" более 200 тыс. граждан прошли опросы.