"Слив" данных "Дії": скомпрометировать могли даже тех, кто пользовался лишь приложением
Минцифры манипулирует украинцами, разделяя "Дію" на разные продукты, считает Иван Сорочан, родственник подростка, чьи данные оказались "слиты".
Программист Иван Сорочан, который нашел в "сливе" данных из "Дії" информацию о своем 14-летнем родственнике, в комментарии Фокусу рассказал, почему считает сервис уязвимым.
"Слив" данных "Дії" подростка: что произошло
В своем Facebook инженер-программист Иван Сорочан написал, что представитель Минцифры попыталась опровергнуть его слова о вероятном "сливе" данных из приложения "Дія", указывая на путаницу со временем. Дело в том, что сначала Иван написал, что дата, найденная в фрагменте базы с информацией о его несовершеннолетнем родственнике, соответствует получению посылки на "Новой почте" с использованием государственного приложения.
Как Иван Сорочан рассказал Фокусу, после публикации новостей о "сливе" данных "Дії", он решил при помощи коллег-программистов поискать в базе себя и своих родных. В итоге удалось найти информацию о 14-летнем родственнике: его имя, фамилию, номер ID-карты, идентификационный код, номер мобильного телефона, адрес электронной почты, а также некую дату с временной пометкой (в своем посте Сорочан отмечает — "сентябрь 2021"). Сам подросток сообщил, что в этот день показывал свои документы в "Діє" на "Новой почте". Позже выяснилось, что дата, указанная в слитой базе, и дата посещения Новой почты не совпадают — отличие ровно в один день.
"На эмоциях мы сразу совершили ошибку, когда писали пост. Понимаете, утекли данные, и люди переживали, что они виноваты. Там разница в один день. Однако родственник-подросток, часто переустанавливает софт, играется с ним, перезагружает и так далее. Скорее всего, он за день до той даты из слитой базы заново установил "Дія", — поделился Иван Сорочан. — "Основной кейс в том, что он никогда не пользовался порталом. Подросток всегда пользовался "Дієй" с телефона. Поэтому я считаю, что "Дія" — это несколько разных родственных продуктов, и чиновники всегда переводят стрелки с портала на приложение, и наоборот".
Иван Сорочан напомнил, что в инфраструктуру "Дії" входит сайт (он же портал), приложение, а также "Дія.ID", которая используется для аутентификации во многих сервисах. Последняя является интегратором разных способов аутентификации, включая MobileID, BankID и КЭП (КЭП, квалифицированная электронная подпись, — ред.)".
"Всегда, когда возникают какие-то проблемы, когда что-то "слилось" или поломалось, они (чиновники Минцифры — ред.) начинают манипулировать: это та "Дія", это не та "Дія". Но нюанс именно в том, что мой родственник пользовался только приложением. Выходит, что "слили" портал, но данные из приложения в утекшей базе тоже есть. Я полагаю, что существует некая связь, синхронизация, интеграция между порталом Дія и приложением Дія. Обычным людям ведь без разницы, чем пользоваться — и получается, что их данные могут быть в слитой базе", – прокомментировал программист.
Он добавил, что в министерстве также связывают утечку данных с открытым реестром физических-лиц предпринимателей (ФЛП), одним из которых является сам Иван Сорочан. Однако 14-летний ребенок никогда не регистрировался в качестве ФЛП, ведь согласно статье 35 Гражданского кодекса Украины, это можно сделать только с 16-ти лет. Следовательно, данных юноши в реестре ФЛП быть не может, однако они все равно оказались в базе, выставленной на продажу.
Виновата ли "Новая почта"?
Мы поинтересовались у эксперта по кибербезопасности Константина Корсуна, возможна ли утечка данных из приложения "Дія" при подтверждении личности на "Новой почте". Он заявил, что сомневается в этом.
"Маловероятно, но не очень понятно, как работает механизм считывания данных из-за тотальной таинственности. Нет никакой информации, дающей возможность провести технический анализ и анализ рисков. Поэтому, в зависимости от кривости реализации сервиса, нельзя исключать возможности, что данные парня утекли подтверждении личности на "Новой почте", хотя в принципе проверяющая сторона не должна получать доступа к "Діє" в ходе проверки", — прокомментировал эксперт. — "Если министерство считает, что данные "слились" через "Новую почту", то пусть отключают возможность такой проверки. Они же МФО запретили пользоваться "Дієй" в ручном режиме".
Фокус также спросил у эксперта, какой орган регулирует деятельность частных компаний, которые считывают данные украинцев через Дию. Константин Корсун отметил, что у Минцифры нет какого-либо регламента, требований или нормативно-правовой базы для регулирования взаимодействия между госсервисом и частными компаниями вроде "Новой почты".
Ранее писали, что в "слитой" базе нашли данные 14-летнего украинца. По словам родственников, подросток получил паспорт около полугода назад и до недавнего времени пользовался исключительно приложением "Дія", а не порталом.
Эксперты также рассказали, как украинцам защититься после вероятного "слива" данных в "Діє". По словам специалистов, удаление приложения уже не поможет, однако еще можно поменять пароли и отказаться от автоматически сгенерированных цифровых подписей.