"Злив" даних "Дії": скомпрометувати могли навіть тих, хто користувався лише додатком
Мінцифри маніпулює українцями, поділяючи "Дію" на різні продукти, вважає Іван Сорочан, родич підлітка, чиї дані виявилися "злитими".
Програміст Іван Сорочан, який знайшов у "зливі" даних із "Дії" інформацію про свого 14-річного родича, у коментарі Фокусу розповів, чому вважає сервіс уразливим.
"Злив" даних "Дії" підлітка: що сталося
У своєму Facebook інженер-програміст Іван Сорочан написав, що представниця Мінцифри спробувала спростувати його слова про ймовірний "злив" даних із програми "Дія", вказуючи на плутанину з часом. Справа в тому, що спочатку Іван написав, що дата, знайдена у фрагменті бази з інформацією про його неповнолітнього родича, відповідає отриманню посилки "Новою поштою" з використанням державного додатка.
Як Іван Сорочан розповів Фокусу, після публікації новин про "злив" даних "Дії", він вирішив за допомогою колег-програмістів пошукати в базі себе та своїх рідних. Зрештою вдалося знайти інформацію про 14-річного родича: його ім'я, прізвище, номер ID-карти, ідентифікаційний код, номер мобільного телефону, адресу електронної пошти, а також дату з тимчасовою позначкою (у своєму дописі Сорочан зазначає — "вересень 2021"). Сам підліток повідомив, що цього дня показував свої документи у "Дії" на "Новій пошті". Пізніше з'ясувалося, що дата, вказана в злитій базі, і дата відвідування Нової пошти не збігаються — відмінність рівно одного дня.
"На емоціях ми одразу припустилися помилки, коли писали допис. Розумієте, втекли дані, і люди переживали, що вони винні. Там різниця в один день. Проте родич-підліток, часто встановлює заново софт, грається з ним, перезавантажує і так далі. Швидше всього, він за день до тієї дати зі злитої бази знову встановив Дію, — поділився Іван Сорочан. — Основний кейс у тому, що він ніколи не користувався порталом. Підліток завжди користувався "Дією" з телефону. Тому я вважаю, що "Дія" — це кілька різних споріднених продуктів, і чиновники завжди переводять стрілки з порталу на програму, і навпаки".
Іван Сорочан нагадав, що до інфраструктури "Дії" входить сайт (він же портал), додаток, а також "Дія.ID", яка використовується для автентифікації у багатьох сервісах. Остання є інтегратором різних способів автентифікації, враховуючи MobileID, BankID та КЕП (КЕП, кваліфікований електронний підпис, — ред.)".
"Завжди, коли виникають якісь проблеми, коли щось "злилося" або зламалося, вони (чиновники Мінцифри — ред.) починають маніпулювати: це та "Дія", це не та "Дія". Але нюанс саме в тому, що мій родич користувався тільки додатком. Виходить, що "злили" портал, але дані з програми в злитій базі теж є. Я гадаю, що існує певний зв'язок, синхронізація, інтеграція між порталом Дія та додатком Дія. Звичайним людям же без різниці, чим користуватися — і виходить, що їхні дані можуть бути в злитій базі", — прокоментував програміст.
Він додав, що в міністерстві також пов'язують витік даних із відкритим реєстром фізичних осіб підприємців (ФОП), одним з яких є сам Іван Сорочан. Проте 14-річна дитина ніколи не реєструвалася як ФОП, адже згідно зі статтею 35 Цивільного кодексу України, це можна зробити лише із 16-ти років. Отже, даних юнака в реєстрі ФОП бути не може, проте вони все одно опинилися в базі, виставленій на продаж.
Чи винна "Нова пошта"?
Ми поцікавилися в експерта з кібербезпеки Костянтина Корсуна, чи можливий витік даних із програми "Дія" після підтвердження особи на "Новій пошті". Він заявив, що сумнівається в цьому.
"Малоймовірно, але не дуже зрозуміло, як працює механізм зчитування даних через тотальну таємничість. Немає жодної інформації, що дає можливість провести технічний аналіз та аналіз ризиків. Тому, залежно від кривості реалізації сервісу, не можна заперечувати можливість, що дані хлопця втекли після підтвердження особи на "Новій пошті", хоча в принципі сторона, яка перевіряє, не повинна отримувати доступу до "Дії" в процесі перевірки", — прокоментував експерт. — "Якщо міністерство вважає, що дані "злилися" через "Нову пошту", то нехай відключають можливість такої перевірки. Вони ж МФО заборонили користуватися Дією в ручному режимі".
Фокус також запитав експерта, який орган регулює діяльність приватних компаній, які зчитують дані українців через Дію. Костянтин Корсун зазначив, що Мінцифри не має жодного регламенту, вимог чи нормативно-правової бази для регулювання взаємодії між держсервісом і приватними компаніями на кшталт "Нової пошти".
Раніше писали, що в "злитій" базі знайшли дані 14-річного українця. За словами родичів, підліток отримав паспорт майже пів року тому й донедавна користувався виключно додатком Дія, а не порталом.
Експерти також розповіли, як українцям захиститися після ймовірного "зливу" даних у "Дії". За словами фахівців, видалення програми вже не допоможе, проте ще можна змінити паролі та відмовитися від автоматично згенерованих цифрових підписів.