Киберэксперт пояснил, могут ли мошенники украсть личные данные из приложения "Дия" и набрать кредитов

Киберэксперт пояснил, могут ли мошенники украсть личные данные из приложения "Дия" и набрать кредитов
Эксклюзив
Читати українською

По словам специалиста, мошеннические схемы по получению кредитов не зависят от "Дии". Они зависят от украинского законодательства, которое их "пропускает"

К безопасности приложения "Дія" (портал государственных услуг) до сих пор есть много вопросов. В том числе и среди рядовых граждан, которые боятся им пользоваться, потому что думают, что таким образом увеличивается риск незаконного использования документов для мошеннических схем - например, для оформления кредита.

В комментарии APnews эксперт по кибербезопасности Виталий Якушев рассказал, оправданы ли эти переживания.

Так, он объяснил, что электронные документы и процесс, когда документы подтверждаются электронно - это две разные вещи. И вот второй пункт - как раз о "Дие". Приложение не хранит данные пользователей, там фактически не содержатся ваши документы, в приложении можно только подтвердить их достоверность - так же вы могли бы предъявить оригинал паспорта или любого другого документа.

"Электронных документов можно сделать большое количество копий. И надо понимать, что в "Дие" как раз содержится подтверждение вашего электронного документа, но нет самого документа. Таким же образом вы можете подтвердить электронную копию документа, показав оригинал паспорта и, например, получить кредит. Или взять электронную версию документа и получить кредит", - пояснил эксперт.

По его словам, схемы по получению кредита не зависят от «Дии». Причина глубже - в украинском законодательстве, которое позволяет предоставлять кредиты без должной на то проверки.

"Если мошенники берут документы, нелегально их используют и им это удается, то проблема не с приложением, а с верификацией документа и законами Украины. Проблема в украинском законодательстве, которое позволяет этим документом, подтвержденным "Дией", воспользоваться, то есть которое пропускает выдачу кредитов, полностью не выполняя при этом схему проверки. Так же можно было бы украсть копию паспорта (не цифрового, а бумажного), и набрать на него кредитов", - сказал Виталий Якушев.

При этом основную проблему министерства эксперт видит как раз в непрозрачности деятельности. Считает, что если бы больше внимания уделялось донесению до людей того, как все работает, было бы меньше вопросов и больше доверия и среди экспертов, и среди рядовых граждан.

"Минцифры очень много вкладывают в пиар, но не вкладывают столько же в прозрачность. Если бы было больше подробностей о том, как работает технология, было бы меньше проблем. Чтобы мне объективно сказать, безопасна ли "Дия", надо ее проверить. Но Минцифры не предоставляет доступ к исходному коду. Хотя к таким приложениям обязательно нужно давать исходный код, так как это коммерческое приложение, им пользуются миллионы людей, и они должны понимать, что они пользуются им действительно безопасно", - подчеркнул эксперт.

Что говорят в Минцифры?

В Министерстве цифровой трансформации также отметили, что не хранят персональных данных пользователей, а лишь отражают данные из соответствующих реестров (например, из реестра МВД - ред.).

"Мы постоянно подтверждаем надежность приложения Дия. Мобильное приложение получило аттестат соответствия Комплексной системы защиты информации (КСЗИ) на мобильное приложение Дия 2.0. Мы успешно прошли 2 pen-теста (атака на свое же приложение с прямой попыткой его сломать или найти уязвимости - ред. ) "Дии" с партнерами USAID и Академией е-правительства Эстонии", - ответили нам в пресс-службе.

Более того, в декабре 2020 года команда Министерства цифровой трансформации на платформе Bugcrowd при поддержке агентства по международному развитию США (USAID) провела тестирование (багбаунти) на нахождение возможных ошибок в Дие с призовым фондом в 1000000 гривен. Это был челлендж для "этических" хакеров со всего мира. Идея - «сломать» копию приложения и найти уязвимости в действии 2.0.

"Этические хакеры со всего мира подтвердили надежность Дии во время проведения программы Bug Bounty. В приложении не выявили уязвимостей, которые бы влияли на безопасность. Найдено две технические ошибки низкого уровня, которые сразу были исправлены специалистами проекта Дия", - отметили в Минцифры.

Читайте также:

Новости партнеров

“Вы замешаны в изнасиловании”: Спикера США Пелоси обвинили в сокрытии преступлений Байдена
«Укрзализныця» возобновляет движение поездов почти во всех областях Украины