Не баг, а фіча: у ДП "Дія" відповіли на звинувачення в можливості клонування е-документів
Телекомексперт Роман Хіміч заявив, що йому вдалося створити клони власного цифрового паспорта в "Дія". Представники держпідприємства запевняють, що документами в додатку можна користуватися на різних пристроях.
Роман Хіміч, експерт у сфері телекомунікацій, повідомив, що йому вдалося створити три копії власного цифрового паспорта на трьох різних пристроях — двох смартфонах і планшеті.
Про це він написав у колонці для Фокуса "Візьми все, я собі ще намалюю! Як "клонувати" е-документи українців і чим це загрожує ".
За словами Романа, за допомогою BankID ПриватБанку він активував першу копію документів у "Дія", а саме — закордонний паспорт і податковий номер. Другу копію він поставив у захищену область памʼяті смартфона (ізольовану область операційної системи, у якій можна, наприклад, інсталювати другу копію програми, яка не підтримує перемикання між обліковими записами). Потім він ввів дані BankID — і знову на екрані зʼявилися е-документи. "У мене на руках — відразу дві повнофункціональні копії "Дія", — поділився Хіміч. Потім він на планшеті створив третю копію для перевірки.
Всю інформацію Роман Химич підтвердив за допомогою скріншотів.
"Отже, всупереч твердженням представників ДП "Дія" та здоровому глузду мені вдалося клонувати свої е-документи. Це дуже погана новина з точки зору безпеки. Зловмисники можуть без проблем заволодіти повнофункціональними документами громадян для здійснення найрізноманітніших протиправних дій", — резюмує експерт.
Фокус попросив представників держпідприємства "Дія" прокоментувати цю ситуацію.
"Відносно скрінів (маються на увазі скріншоти листування Романа Хіміча зі службою підтримки, — ред.), — це помилка нашої служби підтримки, менеджер звільнений", — відповіли нам в ДП, а також підкреслили, що документами в "Дія" можна користуватися на різних пристроях.
Для того, щоб забезпечити безпеку додатка "Дія", ми розробили logout-авторизацію. Ми використовували технологію ФотоID. Вам достатньо буде зробити ідентифікацію особи та продовжити сесію. Всі документи при цьому будуть збережені.
Відносно активних сесій — у додатку ви можете побачити всі пристрої, які ви підключили до "Дія". Також ви зможете побачити, коли було підключено пристрій і які документи були підписані.
Якщо ви забули десь телефон, втратили його — ви можете завжди завершити сесію в "Дія" з іншого пристрою в 1 клік і контролювати всі пристрої, які ви підключили до вашого додатку.
Раніше Фокус публікував колонку Мстислава Бана, керівника з розвитку електронних послуг в Мінцифрі, про те, чому не варто боятися переходу з паперових паспортів на цифрові.