"Легко подделать, сложно проверить": эксперты раскрыли риски новой услуги єДокумент

єДокумент, Дия
Фото: Минцифры

Специалисты по кибербезопасности считают, что диверсанты могут "клонировать" временное е-удостоверение или выдать себя за гражданина Украины, чтобы беспрепятственно перемещаться по стране, минуя блокпосты.

Related video

11 марта ГП "Дія" запустило новую услугу под названием "єДокумент". Подробности разработчики сообщили на официальной странице в Facebook. Однако эксперты в сфере кибербезопасности опасаются, что сервис может сыграть на руку диверсантам. Фокус разбирался в причинах.

Что такое єДокумент и как он работает

"єДокумент" — временное цифровое удостоверение личности, которое украинцам предлагают использовать в военное время. Чтобы получить доступ к услуге, пользователям необходимо обновить приложение "Дія", и документ подтянется автоматически — самостоятельно его генерировать, подобно COVID-сертификату, не нужно.

Как объяснили Фокусу в ГП "Дія", данные граждан при авторизации будут подтягиваться не из реестров, т.к. они сейчас закрыты, а из BankID или из ID-карты при помощи NFC.

"Сервис работает офлайн, доступы к реестрам не нужны, проверяется "єДокумент" офлайн, как ковид-сертификат", — подчеркнули в госпредприятии.

Цифровое удостоверение отображает паспортные данные и карту налогоплательщика. Как утверждают в ГП "Дія", граждане Украины смогут показывать "єДокумент" на смартфоне сотрудникам Нацполиции или бойцам территориальной обороны для подтверждения личности, например, при пересечении блокпостов.

"Война пришла в наш дом неожиданно. Многие украинцы были эвакуированы в более безопасные регионы Украины, однако не все взяли с собой необходимые документы. Из соображений безопасности госреестры были отключены, соответственно, цифровой паспорт или водительское удостоверение в "Дія" не всегда под рукой. Поэтому мы запускаем єДокумент в "Дія", — отметила пресс-служба.

Как работает авторизация в єДокумент через BankID

Журналисты Фокуса попробовали авторизоваться через BankID. Для этого мы запустили приложение, выбрали способ авторизации через BankID Монобанка. В итоге приложение отобразило ФИО, дату рождения, идентификационный номер (РНОКПП), но фотографию — нет.

Мы обратились к эксперту по кибербезопасности (источник пожелал сохранить анонимность), чтобы он разъяснил, может ли в таком случае єДокумент считаться полноценным документом, удостоверяющим личность?

"Функционально — это аналог пропуска, написанного от руки. Он ничего не может удостоверить, его невозможно никак проверить, поскольку BankID не предполагает наличие фотографии", — ответил специалист.

Как пояснил нам специалист, данные из BankID подтянул государственный портал "Дія" через Интернет, а потом зашифровывал в виде QR-кода и заверил своей цифровой подписью. На обратной стороне блока, где указаны данные нашего редактора действительно был QR-код. Мы не стали снимать скриншот для его демонстрации в целях безопасности. Этот QR-код — статический, и для его проверки не требуется подключение к Интернету, то есть считать его можно на любом блокпосту при помощи приложения "Дія", даже если не будет мобильного Интернета, прояснил эксперт.

Авторизоваться при помощи NFC нам не удалось.

Безопасен ли сервис єДокумент: мнение экспертов

"Гильдия IT-специалистов" на своем сайте рассказала о рисках, связанных с запуском новой услуги. Айтишники заявили, что с начала войны они получили множество сообщений об сбоях в работе приложения "Дія" в регионах, где ведутся активные боевые действия: Николаевской, Херсонской, Запорожской, Донецкой, Луганской, Харьковской, Сумской и Черниговской областях. В связи с этим они усомнились в надежности новых цифровых документов и в том, что правоохранители смогут полноценно их проверять.

Представители "Гильдии" напомнили, что с момента запуска приложения "Дія" злоумышленникам удалось создать несколько его визуальных копий. По словам специалистов, с тех пор ситуация никак не изменилась.

"Кто-угодно может так же клонировать приложение и "нарисовать" любой "єДокумент". Но теперь риски на несколько порядков выше. В стране полно диверсионно-разведывательных групп. Сеяние паники, уничтожение критической инфраструктуры, сбор и передача информации об украинских войсках — вот лишь малая часть тех рисков, которые могут нанести шпионы стран-агрессоров, пользуясь фальшивым "єДокументом", — подчеркнули в "Гильдии".

Анонимный источник Фокуса считает, что диверсанты смогут выдавать себя за граждан Украины, авторизовавшись через BankID.

"Для людей, пытающихся скрыть свою личность — это идеальный инструмент. Достаточно найти BankID человека того же пола и примерно того же возраста, и выдавать себя за него. У проверяющего нет способа идентифицировать личность", — сказал эксперт.

Специалист считает, что лучше предъявлять настоящий паспорт, ID-карту или загранпаспорт. А если все документы утрачены, он рекомендует восстановить через ЦНАПы.

"На подконтрольных территориях действуют авторизованные государственные ЦНАПы, есть возможность прийти туда, чтобы сотрудники заверили и установили, что вы — это вы, сличив ваше лицо с вашей фотографией. За такой же идентификацией, думаю, можно обратиться и ПриватБанк, и другие крупные банки, ведь у них есть фотографии клиентов", — подытожил источник.

Фокус запросил комментарий в ГП "Дія". Следите за нашими новостями.