Розділи
Матеріали

"Легко подделать, сложно проверить": эксперты раскрыли риски новой услуги єДокумент

Олександр Залата, Ірина Рефагі
Фото: Мінцифри

Фахівці з кібербезпеки вважають, що диверсанти можуть "клонувати" тимчасове є-посвідчення або видати себе за громадянина України, щоб безперешкодно пересуватися країною, минаючи блокпости.

11 березня ДП "Дія" запустило нову послугу під назвою "єДокумент". Подробиці розробники повідомили на офіційній сторінці уFacebook. Проте експерти у сфері кібербезпеки побоюються, що сервіс може зіграти на руку диверсантам. Фокус дізнався про причини.

Що таке єДокумент і як він працює

"єДокумент" — тимчасове цифрове посвідчення особи, яке українцям пропонують використовувати у воєнний час. Щоб отримати доступ до послуги, користувачам необхідно оновити програму "Дія", і документ підтягнеться автоматично — самостійно його генерувати, подібно до COVID-сертифікату, не потрібно.

Як пояснили Фокусу в ДП "Дія", дані громадян під час авторизації підтягуватимуться не з реєстрів, оскільки вони зараз закриті, а з BankID або ID-карти за допомогою NFC.

"Сервіс працює офлайн, доступи до реєстрів не потрібні, перевіряється "єДокумент" офлайн, як ковід-сертифікат", — наголосили в держпідприємстві.

Цифрове посвідчення відображає паспортні дані та картку платника податків. Як стверджують у ДП "Дія", громадяни України зможуть показувати "єДокумент" на смартфоні співробітникам Нацполіції або бійцям територіальної оборони для підтвердження особи, наприклад, при перетині блокпостів.

"Війна прийшла до нашого будинку несподівано. Багато українців було евакуйовано до безпечніших регіонів України, проте не всі взяли із собою необхідні документи. З міркувань безпеки держреєстри було відключено, відповідно, цифровий паспорт або посвідчення водія в "Дія" не завжди під рукою. Тому ми запускаємо Документ у "Дії", — зазначила пресслужба.

Як працює авторизація у єДокумент через BankID

Журналісти Фокусу спробували авторизуватися через BankID. Для цього ми запустили програму, вибрали спосіб авторизації через BankID Монобанку. У підсумку програма відобразила ПІБ, дату народження, ідентифікаційний номер (РНОКПП), але фотографію — ні.

Ми звернулися до експерта з кібербезпеки (джерело побажало зберегти анонімність), щоб він роз'яснив, чи може в такому разі єДокумент вважатися повноцінним документом, що засвідчує особу?

"Функціонально — це аналог пропуску, написаного від руки. Він нічого не може засвідчити, його неможливо перевірити, оскільки BankID не передбачає наявність фотографії", — відповів фахівець.

Як пояснив фахівець, дані з BankID підтягнув державний портал "Дія" через інтернет, а потім зашифровував у вигляді QR-коду і запевнив своїм цифровим підписом. На звороті блоку, де вказані дані нашого редактора, дійсно був QR-код. Ми не стали знімати скріншот для його демонстрації з метою безпеки. Цей QR-код — статичний, і для його перевірки не потрібне підключення до інтернету, тобто представляти його можна на будь-якому блокпосту за допомогою програми "Дія", навіть якщо не буде мобільного інтернету, пояснив експерт.

Авторизуватись за допомогою NFC нам не вдалося.

Чи безпечний сервіс єДокумент: думка експертів

"Гільдія IT-фахівців" на своєму сайті розповіла про ризики, пов'язані із запуском нової послуги. Айтішники заявили, що з початку війни вони отримали безліч повідомлень про збої в роботі програми "Дія" в регіонах, де ведуться активні бойові дії: Миколаївській, Херсонській, Запорізькій, Донецькій, Луганській, Харківській, Сумській та Чернігівській областях. У зв'язку з цим вони засумнівалися в надійності нових цифрових документів та в тому, що правоохоронці зможуть повноцінно їх перевіряти.

Представники Гільдії нагадали, що з моменту запуску програми Дія зловмисникам вдалося створити кілька його візуальних копій. За словами фахівців, з того часу ситуація ніяк не змінилася.

"Хто-завгодно може так само клонувати додаток і "намалювати" будь-який "єДокумент". Але тепер ризики на кілька порядків вищі. У країні повно диверсійно-розвідувальних груп. Лише мала частина тих ризиків, які можуть завдати шпигуни країн-агресорів, користуючись фальшивим "єДокументом", — наголосили в "Гільдії".

Анонімне джерело Фокусу вважає, що диверсанти зможуть видавати себе за громадян України, авторизувавшись через BankID.

"Для людей, які намагаються приховати свою особу — це ідеальний інструмент. Досить знайти BankID людини тієї самої статі і приблизно того ж віку, і видавати себе за неї. У перевіряльника немає способу ідентифікувати особу", — сказав експерт.

Фахівець вважає, що краще пред'являти справжній паспорт, ID-картку чи закордонний паспорт. А якщо всі документи втрачені, то він рекомендує відновити через ЦНАПи.

"На підконтрольних територіях діють авторизовані державні ЦНАПи, є можливість прийти туди, щоб співробітники запевнили і встановили, що ви — це ви, порівнявши ваше обличчя з вашою фотографією. За такою ж ідентифікацією, гадаю, можна звернутися і в ПриватБанк, і інші великі банки, адже в них є фотографії клієнтів", — підсумувало джерело.

Фокус запросив коментар у ДП "Дія". Слідкуйте за нашими новинами.