Розділи
Матеріали

Не баг, а фіча: у ДП "Дія" відповіли на звинувачення в можливості клонування е-документів

Фото: khoda.gov.ua

Телекомексперт Роман Хіміч заявив, що йому вдалося створити клони власного цифрового паспорта в "Дія". Представники держпідприємства запевняють, що документами в додатку можна користуватися на різних пристроях.

Роман Хіміч, експерт у сфері телекомунікацій, повідомив, що йому вдалося створити три копії власного цифрового паспорта на трьох різних пристроях — двох смартфонах і планшеті.

Про це він написав у колонці для Фокуса "Візьми все, я собі ще намалюю! Як "клонувати" е-документи українців і чим це загрожує ".

За словами Романа, за допомогою BankID ПриватБанку він активував першу копію документів у "Дія", а саме — закордонний паспорт і податковий номер. Другу копію він поставив у захищену область памʼяті смартфона (ізольовану область операційної системи, у якій можна, наприклад, інсталювати другу копію програми, яка не підтримує перемикання між обліковими записами). Потім він ввів дані BankID — і знову на екрані зʼявилися е-документи. "У мене на руках — відразу дві повнофункціональні копії "Дія", — поділився Хіміч. Потім він на планшеті створив третю копію для перевірки.

Всю інформацію Роман Химич підтвердив за допомогою скріншотів.

Скріншоти, що підтверджують успішне клонування е-документів

"Отже, всупереч твердженням представників ДП "Дія" та здоровому глузду мені вдалося клонувати свої е-документи. Це дуже погана новина з точки зору безпеки. Зловмисники можуть без проблем заволодіти повнофункціональними документами громадян для здійснення найрізноманітніших протиправних дій", — резюмує експерт.

Фокус попросив представників держпідприємства "Дія" прокоментувати цю ситуацію.

"Відносно скрінів (маються на увазі скріншоти листування Романа Хіміча зі службою підтримки, — ред.), — це помилка нашої служби підтримки, менеджер звільнений", — відповіли нам в ДП, а також підкреслили, що документами в "Дія" можна користуватися на різних пристроях.

Переписка Хіміча зі службою підтримки Дія
Фото: Скриншот

Для того, щоб забезпечити безпеку додатка "Дія", ми розробили logout-авторизацію. Ми використовували технологію ФотоID. Вам достатньо буде зробити ідентифікацію особи та продовжити сесію. Всі документи при цьому будуть збережені.

Відносно активних сесій — у додатку ви можете побачити всі пристрої, які ви підключили до "Дія". Також ви зможете побачити, коли було підключено пристрій і які документи були підписані.

Якщо ви забули десь телефон, втратили його — ви можете завжди завершити сесію в "Дія" з іншого пристрою в 1 клік і контролювати всі пристрої, які ви підключили до вашого додатку.

Раніше Фокус публікував колонку Мстислава Бана, керівника з розвитку електронних послуг в Мінцифрі, про те, чому не варто боятися переходу з паперових паспортів на цифрові.