Не баг, а фича: в Минцифре ответили на обвинения в возможности клонирования е-документов

приложение Дія, Дія. е-паспорт
Фото: khoda.gov.ua

Телеком-эксперт Роман Химич заявил, что ему удалось создать клоны собственного цифрового паспорта в "Дія". Представители министерства заверяют, что документами в приложении можно пользоваться на разных устройствах.

Роман Химич, эксперт в телеком-сфере, сообщил, что ему удалось создать три копии собственного цифрового паспорта на трех разных устройствах — двух смартфонах и планшете.

Об этом он написал в колонке для Фокуса "Возьми все, я себе еще нарисую! Как "клонировать" е-документы украинцев и чем это грозит".

По словам Романа, при помощи BankID ПриватБанка он активировал первую копию документов в "Дія", а именно — заграничный паспорт и налоговый номер. Вторую копию он поставил в защищённую область памяти смартфона (изолированную область операционной системы, в которой можно, например, инсталлировать вторую копию программы, которая не поддерживает переключение между учётными записями). Затем он ввел данные BankID — и снова на экране появились е-документы. "У меня на руках — сразу две полнофункциональные копии ""Дія", — поделился Химич. Затем он на планшете создал третью, проверочную, копию.

Всю информацию Роман Химич подтвердил при помощи скриншотов.

е-документы, е-паспорт
Скриншоты, подтверждающие успешное клонирование е-документов

"Итак, вопреки утверждениям представителей ГП "Дія" и здравому смыслу мне удалось клонировать свои е-документы. Это очень плохая новость с точки зрения безопасности. Злоумышленники могут без проблем завладеть полнофункциональными документами граждан для совершения самых разных противоправных действий", — резюмирует эксперт.

Фокус попросил представителей Минцифры прокомментировать данную ситуацию.

"Касательно скринов (имеются ввиду скриншоты переписки Романа Химича со службой поддержки, — ред.), — это ошибка нашей службы поддержки, менеджер уволен", — ответили нам в ведомстве, а также подчеркнули, что документами в "Дія" можно пользоваться на разных устройствах.

Дія, приложение
Переписка Химича со службой поддержки Дія
Фото: Скриншот

"Для того, чтобы обеспечить безопасность приложения "Дія", мы разработали logout-авторизацию. Мы использовали технологию ФотоID. Вам достаточно будет сделать идентификацию лица и продолжить сессию. Все документы при этом будут сохранены", — рассказали Фокусу чиновники.

Также они прояснили ситуацию касательно активных сессий: "в приложении вы можете увидеть все устройства, которые вы подключили к "Дія". Также, вы сможете увидеть когда было подключено устройство, и какие документы были подписаны.

Если вы забыли где-то телефон, потеряли его — вы можете всегда завершить сессию в "Дія" с другого устройства в 1 клик и контролировать все устройства, которые вы подключили к вашему приложению".

Ранее Фокус публиковал колонку Мстислава Бана, руководителя по развитию электронных услуг в Минцифре, о том, Почему не стоит бояться перехода с бумажных паспортов на цифровые.