Що не так із "Дією"? Кіберексперти назвали 22 суттєві дефекти додатку

Днями експерти з кібербезпеки склали й опублікували в соцмережах документ, у якому перераховують і пояснюють уразливості та недоліки сервісу "Дія". Публікацію розмістив на своїй Facebook сторінці Костянтин Корсун, повідомляє Фокус.

У документі, під назвою "Що не так із "Дією" фахівці в галузі кібербезпеки та телекому заявляють, що додаток "Дія" "нав'язують громадянам України як безальтернативний засіб надання державних електронних послуг". Експерти стверджують, що додаток має низку серйозних проблем, "як із архітектурною моделлю, і з якістю реалізації".

"Українські фахівці з кібербезпеки попереджали про можливі проблеми ще до запуску першої версії "Дії". Відзначали серйозні недоліки також після публічного запуску цієї програми. Публічно та непублічно наполягали на неприпустимості ігнорування існуючих проблем. Але розробники й ідеологи "Дії" продовжують "не помічати" критики, і це вже призводить до реалізації деяких ризиків", — йдеться в документі.

Щоб детально пояснити "що не так із додатком", експерти зібрали всі факти й аргументи в єдиний документ, навівши такий перелік:

1. Істотні дефекти архітектури програми "Дія".

2. Обробка та зберігання персональних даних у додатку "Дія".

3. Можливість перехоплення та накопичення персональних даних під час перевірки е-документів у додатку "Дія".

4. Можливі шахрайства з використанням "Дії".

5. Можливість стежити за користувачами через програму "Дія".

6. Ризики дистанційного несанкціонованого проникнення в смартфон ("злом") зі встановленим додатком "Дія".

7. Неможливість самостійно заблокувати свій обліковий запис у "Дії" (опція Opt-Out).

8. Ризики фальшування виборів у смартфоні з використанням програми "Дія".

9. Ризики "повісток через "Дію".

10. Ризики відсутності доступу до інтернету програми "Дія".

11. Не всі громадяни можуть користуватися програмою "Дія".

12. Надмірна централізація системи й агрегація повноважень.

13. Відсутність правил використання додатка та механізму контролю за дотриманням цих правил.

14. Ігнорування чинного законодавчого регулювання з метою створення програмних продуктів.

15. Створення штучної монополії програми "Дія".

16. Відсутність у публічному доступі документації на програму "Дія".

17. Відсутність публічного доступу до вихідного коду програми "Дія".

18. Відсутність інформації про зовнішні незалежні аудити безпеки програми "Дія".

19. Сумнівність об'єктивності проведення державної експертизи додатка "Дія".

20. Незадовільний рівень комунікації розробників програми "Дія" з користувачами й ІТ-фахівцями.

21. Можливість необмеженого клонування документів у додатку "Дія".

22. Непрозорість порядку використання додатком "Дія" іншими організаціями.

Кожен пункт у документі розписаний детальніше. Наприклад, за першим пунктом експерти пояснюють, що при створенні програми було порушено один із базових принципів у галузі електронної ідентифікації – розмежування інструментів ідентифікації за рівнями довіри.

"Наприклад, для ідентифікації користувача високого рівня довіри, яким має бути власник цифрового паспорта, у "Дії" дозволено використовувати BankID – програмним інструментом із середнім рівнем довіри. Проте неодноразово було доведено, що BankID у нинішньому вигляді не забезпечує достатньої безпеки та вразливий для примітивних атак, — ідеться в документі. — У будь-яких обставинах електронний ідентифікаційний документ, наприклад, електронний паспорт для виїзду за кордон, – має бути захищений виключно засобами найвищого рівня довіри, чого не можна сказати про чинну програму "Дія".

Ця заява підтверджується реальними випадками шахрайства, коли BankID був скомпрометований, і аферисти змогли зайти до "Дії" жертв, про що в кількох матеріалах розповідав Фокус.

Під документом підписалися Андрій Баранович, Андрій Перцюх, Артем Карпінський, Костянтин Корсун, Кір Важницький, Олександр Мацько та Роман Хіміч.

Фокус надіслав запит до Міністерства цифрової трансформації України. Слідкуйте за нашими новинами.