Цифрові маніпуляції. Що не так із критикою додатку "Дія"
Дія спроєктована так, що використовувати цифрові документи без власника в межах чинного законодавства неможливо. Навіть якщо телефон викрадений або доступ обмежений.
Останнім часом з'явилося доволі багато відверто маніпулятивних матеріалів щодо #Дія. Відповідно отримую багато запитань від друзів, колег та ЗМІ на цю тему.
Далі по суті запитань.
Маніпуляція 1. Зловмисники можуть "клонувати" цифрові документи в Дії.
Автор цієї маніпуляції на своєму прикладі демонструє, як йому вдалося встановити мобільний застосунок Дія на різні пристрої та після проходження електронної ідентифікації відобразити власні цифрові документи. Так і в чому сенсація? Дія відпрацювала у штатному режимі.
Так, дійсно, користувач може мати кілька телефонів або планшет. Він може встановити застосунок на ці пристрої та після е-ідентифікації користуватися послугами. Або він загубив / у нього вкрали телефон і користується новим. На травневому Дія.Саміт ми спеціально презентували нову функцію Дії щодо контролю пристроїв та сесій, а також можливість одночасно зробити log-out з усіх пристроїв. До речі, автор маніпуляції також описує, як завдяки цій функції побачив усі свої пристрої. Тож все дуже логічно).
Утім сервіс Дія.Підпис одночасно працює лише на 1 пристрої, а це головне, що не зазначив автор. Саме Дія.Підпис є доступом до найбільш критичних сервісів, але її отримання та використання потребує проходження додаткової ідентифікації вищого рівня.
І головне — Дія спроєктована так, що використовувати цифрові документи без власника в межах чинного законодавства неможливо. Навіть якщо телефон вкрадений і доступ отриманий! І тут переходимо до наступної маніпуляції.
Маніпуляція 2. Через Дію можна легко взяти на вас кредит
Процедури, регламентовані в законодавстві, передбачають дві основні моделі отримання кредиту: офлайн під час особистого візиту — тут зрозуміло, що показати чужий цифровий паспорт так само неможливо, як і чужий паперовий; та онлайн — тут, дійсно, ОДНИМ З ЕТАПІВ отримання кредиту може бути надання електронної копії цифрового паспорта (шерінг).
Важливо, що саме одним з етапів, адже нормативними актами встановлені вимоги до дистанційної ідентифікації, які, зокрема, передбачають фотографію (селфі) заявника з паспортом у руках. Це унеможливлює подання чужих цифрових копій. Це по суті.
На жаль, "схеми", пов'язані з отриманням кредиту на іншу особу, існують та процвітають в Україні дуже давно — як на базі паперових копій документів, так і шляхом отримання доступу до інтернет-банкінгу.
Дійсно, зараз ми маємо один подібний інцидент, пов'язаний із Дією. Однозначно було зловживання нормами законодавства з боку однієї кредитної установи, які швидко ліквідували той кредит. Цей випадок зараз розслідує кіберполіція (спойлер — дуже успішно) і за тиждень-два ми публічно та детально презентуємо результати цього розслідування, а також низку інших. Тож я дуже прошу всіх не маніпулювати та не сприймати фантазії "експертів". Ми покажемо детально всі матеріали.
До речі, цей випадок стався у березні цього року й одразу у квітні, ще до публічного розголошення, ми від'єднали всі кредитні установи та надіслали лист в НБУ щодо порушення ними правил надання кредитів та необхідності проведення перевірок. Тож наша реакція була моментальною та жорсткою — набагато раніше публічного розголосу, який зараз лише заважає справі.
Дивує, що "експерти", які так активно говорять про цей випадок, залишають поза увагою десятки тисяч інших цифрових афер та зломів банкінгу.
За інформацією Кіберполу, вони отримують до 70 звернень на тиждень щодо отримання кредиту. Чомусь ці випадки нікого не турбують! Зрозуміло, що відбувається звичайний хайп на Дії, а не захист громадян.
Цифрові афери точно не є нашим прямим функціоналом, але, оскільки ми вже стикнулися з цією проблемою та оцінили її масовість, підемо, як і завжди, до кінця.
За кілька тижнів із Кіберполіцією та НБУ ми презентуємо серіал про типові цифрові "схеми" крадіжки ідентичності українців, адже підвищення цифрової грамотності та кібергігієна є головним інструментом боротьби з такими аферами. Також, спільно з НБУ планомірно працюємо над підвищенням надійності схеми ідентифікації BankID. У липні НБУ оприлюднив нові жорсткіші умови щодо банків і впевнений далі буде.
І головне, ми створюємо Дію, щоб усі державні послуги були доступні вам в 1 клік! Без хабарів, без бюрократії та відвідування чиновників.
Публікується за згодою автора.
Нагадаємо, Фокус розглядав випадки можливих маніпуляцій і зловживань з використання цифрового підпису українців у матеріалі Колос на цифрових ногах. Також у рубриці Думки експертів у сфері цифрової безпеки висловлювали свою точку зору з цього приводу:
Думати, як злочинець. Як у 5 кроків зламати "Дію" і вкрасти чужу особистість
Цифровий апокаліпсис в Україні. Як додаток "Дія" може забрати у вас все
Візьми все, я собі ще намалюю! Як "клонувати" е-документи українців і чим це загрожує