"Легко подделать, сложно проверить": эксперты раскрыли риски новой услуги єДокумент

11 марта ГП "Дія" запустило новую услугу под названием "єДокумент". Подробности разработчики сообщили на официальной странице в Facebook. Однако эксперты в сфере кибербезопасности опасаются, что сервис может сыграть на руку диверсантам. Фокус разбирался в причинах.

Что такое єДокумент и как он работает

"єДокумент" — временное цифровое удостоверение личности, которое украинцам предлагают использовать в военное время. Чтобы получить доступ к услуге, пользователям необходимо обновить приложение "Дія", и документ подтянется автоматически — самостоятельно его генерировать, подобно COVID-сертификату, не нужно.

Как объяснили Фокусу в ГП "Дія", данные граждан при авторизации будут подтягиваться не из реестров, т.к. они сейчас закрыты, а из BankID или из ID-карты при помощи NFC.

"Сервис работает офлайн, доступы к реестрам не нужны, проверяется "єДокумент" офлайн, как ковид-сертификат", — подчеркнули в госпредприятии.

Цифровое удостоверение отображает паспортные данные и карту налогоплательщика. Как утверждают в ГП "Дія", граждане Украины смогут показывать "єДокумент" на смартфоне сотрудникам Нацполиции или бойцам территориальной обороны для подтверждения личности, например, при пересечении блокпостов.

"Война пришла в наш дом неожиданно. Многие украинцы были эвакуированы в более безопасные регионы Украины, однако не все взяли с собой необходимые документы. Из соображений безопасности госреестры были отключены, соответственно, цифровой паспорт или водительское удостоверение в "Дія" не всегда под рукой. Поэтому мы запускаем єДокумент в "Дія", — отметила пресс-служба.

Как работает авторизация в єДокумент через BankID

Журналисты Фокуса попробовали авторизоваться через BankID. Для этого мы запустили приложение, выбрали способ авторизации через BankID Монобанка. В итоге приложение отобразило ФИО, дату рождения, идентификационный номер (РНОКПП), но фотографию — нет.

Мы обратились к эксперту по кибербезопасности (источник пожелал сохранить анонимность), чтобы он разъяснил, может ли в таком случае єДокумент считаться полноценным документом, удостоверяющим личность?

"Функционально — это аналог пропуска, написанного от руки. Он ничего не может удостоверить, его невозможно никак проверить, поскольку BankID не предполагает наличие фотографии", — ответил специалист.

Как пояснил нам специалист, данные из BankID подтянул государственный портал "Дія" через Интернет, а потом зашифровывал в виде QR-кода и заверил своей цифровой подписью. На обратной стороне блока, где указаны данные нашего редактора действительно был QR-код. Мы не стали снимать скриншот для его демонстрации в целях безопасности. Этот QR-код — статический, и для его проверки не требуется подключение к Интернету, то есть считать его можно на любом блокпосту при помощи приложения "Дія", даже если не будет мобильного Интернета, прояснил эксперт.

Авторизоваться при помощи NFC нам не удалось.

Безопасен ли сервис єДокумент: мнение экспертов

"Гильдия IT-специалистов" на своем сайте рассказала о рисках, связанных с запуском новой услуги. Айтишники заявили, что с начала войны они получили множество сообщений об сбоях в работе приложения "Дія" в регионах, где ведутся активные боевые действия: Николаевской, Херсонской, Запорожской, Донецкой, Луганской, Харьковской, Сумской и Черниговской областях. В связи с этим они усомнились в надежности новых цифровых документов и в том, что правоохранители смогут полноценно их проверять.

Представители "Гильдии" напомнили, что с момента запуска приложения "Дія" злоумышленникам удалось создать несколько его визуальных копий. По словам специалистов, с тех пор ситуация никак не изменилась.

"Кто-угодно может так же клонировать приложение и "нарисовать" любой "єДокумент". Но теперь риски на несколько порядков выше. В стране полно диверсионно-разведывательных групп. Сеяние паники, уничтожение критической инфраструктуры, сбор и передача информации об украинских войсках — вот лишь малая часть тех рисков, которые могут нанести шпионы стран-агрессоров, пользуясь фальшивым "єДокументом", — подчеркнули в "Гильдии".

Анонимный источник Фокуса считает, что диверсанты смогут выдавать себя за граждан Украины, авторизовавшись через BankID.

"Для людей, пытающихся скрыть свою личность — это идеальный инструмент. Достаточно найти BankID человека того же пола и примерно того же возраста, и выдавать себя за него. У проверяющего нет способа идентифицировать личность", — сказал эксперт.

Специалист считает, что лучше предъявлять настоящий паспорт, ID-карту или загранпаспорт. А если все документы утрачены, он рекомендует восстановить через ЦНАПы.

"На подконтрольных территориях действуют авторизованные государственные ЦНАПы, есть возможность прийти туда, чтобы сотрудники заверили и установили, что вы — это вы, сличив ваше лицо с вашей фотографией. За такой же идентификацией, думаю, можно обратиться и ПриватБанк, и другие крупные банки, ведь у них есть фотографии клиентов", — подытожил источник.

Фокус запросил комментарий в ГП "Дія". Следите за нашими новостями.