Безопасно ли пользоваться приложением Дия. Экспертный опрос

История получила резонанс после публикаций в Facebook эксперта по кибербезопасности Константина Корсуна. Сейчас киберполиции проводит расследование, окончательно не известно, как действовали мошенники.

Журналистки Еспресо Ольга Чайка и София Когут спросили у представителей власти и экспертов, насколько безопасно приложение Дия.

Константин Корсун, эксперт по кибербезопасности, CEO Berezha Security:

В комментарии под одним из моих сообщений Людмила коротко изложила свою ситуацию. Как оказалось, на ее имя оформили кредит - хотя она этого не делала. Мошенники вроде идентифицировали ее через Дию. Мы с госпожой Людмилой пообщались по видеовызову. Она мне прислала кучу документов, которые также посылала Полиции, Нацбанку, Минцифры. По сути, ей ничего не ответили. Почти три месяца ситуация была без решения. И ей продолжали звонить, требуя возврата долга. Вот тогда я понял, что ситуация просто кричащая, и надо как-то донести это до широкой общественности.

Я около двух месяцев разбирался с некоторыми экспертами и с работниками банков, чтобы хотя бы для себя понять, что же произошло на самом деле, и как это предотвратить.

Я думаю, что мошенники где-то получили копии ее паспорта и кода, и зарегистрировались онлайн в одном из банков. Они прислали эти копии документов и прошли идентификацию по видеовызову, ведь сейчас в связи с COVID-19 и ограничениями банки разрешили открывать счета клиентам без личного посещения банка. Когда мошенники открыли счет, они стали клиентом банка от имени Людмилы. А если ты клиент банка, то имеешь право бесплатно получить электронную цифровую подпись, или BankID. Имея это, они зарегистрировали на ее имя аккаунт в Дии, хотя она этого не делала и не планировала делать.

Итак, паспорт Людмилы в Дии стал легальным без нее. Микрофинансовые учреждения пока обязаны принимать цифровой паспорт, как аналог обычного. Таким образом мошенники взяли кредит на этот паспорт. Они пытались взять еще несколько кредитов, однако у них не получилось.

Сейчас Минцифры и Дия говорят, что это не их вина, а вина банка, который не придерживался определенной процедуры. Мне странно это слышать, ведь банк действовал исключительно в пределах полномочий, которые ему определили. С этим надо разбираться.

Основная проблема заключается в том, что в этой ситуации нет крайних. Система Министерства цифровой трансформации введена таким образом, что нет ответственной организации или человека. Министерство направляет в банки, банки тоже куда-то направляют.

Относительно уязвимости Дии как приложения, нет достоверной информации, хотя она должна быть. Например, разработчики тщательно скрывают документы на это приложение. Исходный код приложения также никто не показывает, хотя это также должно быть открытым. Также не показывают выводы независимых экспертов или организаций, желательно международных, которые доказали безопасность Дии.

Кроме того, Министерство доверяет всем тем частям, из которых состоит инфраструктура приложений - то есть каналы передачи данных шифруются не ими, серверы находятся где-то в облачного провайдера, пусть и украинского. Минцифры слепо доверяет банкам, которые выдают клиентам электронную цифровую подпись, - как оказалось, это тоже слабое звено.

Но нет того, кто отвечает за функционирование всей этой экосистемы. Почему Минцифры решила просто доверять всем без доказательств, без каких-либо предохранителей. Просто взять, сторонние решения объединить в одну большую систему. Если возникают какие-то проблемы - они снимают с себя ответственность, или отмалчиваются.

Случай госпожи Людмилы показательный, потому что такая же ситуация может произойти с каждым из нас. Возможно немного уменьшить риск, если самому зарегистрироваться на портале Дия. Не скачивать приложение, потому что там много невыясненных вопросов, а именно на нашем сайте. Если вы зарегистрированы, а мошенники также захотят зайти в ваш аккаунт, то вам придет сообщение.

Я убежден, что обязательно нужно законодательно закрепить возможность отказаться от регистрации в Дии. Это означает, что я, гражданин Украины, сознательно запрещаю кому-то регистрироваться от своего имени в приложении Дия. Эта возможность очень востребована многими людьми, которые очень много об этом говорят и пишут, потому что не доверяют ни приложении, ни власти в целом.

Мстислав Баник, руководитель по развитию электронных услуг в Минцифры:

Ответственность за услугу зависит от сути вопроса. Например, система Bank ID Нацбанка - это система, за которую отвечает только Нацбанк. То есть они имеют соответствующие аттестаты защиты и несут ответственность за свой продукт.

Что касается возможности поделиться копией паспорта через приложение, то в данном случае ответственность лежит преимущественно на человеке.

Как происходит этот процесс? Краткий экскурс. Вы хотите открыть счет в банке. Если это происходит оффлайн, то вам надо разблокировать телефон, открыть Действие с помощью цифр, или face / touch ID. Надо тапнуть по паспорту, показать сотруднику банка QR / штрихкод или продиктовать 13 цифр, которые расположены под штрихкодом. Он считывает код, и вам в Дию поступает сообщение, банк, такое-то отделение, спрашивает копию вашего документа. Если вы подтверждаете передачу копии цифрового документа, в систему банка падает подписано электронным ключом PDF-ка данным - то есть это не имитация копии, а просто перечень данных с фотографией.

Что касается онлайна, в разрезе инцидента с кредитом есть вопросы безопасности процедуры на стороне различных организаций, в том числе банков. Ведь Нацбанк определил процедуры, по которым должно происходить удаленная верификация людей, которые хотят открыть счет. В ситуации с госпожой Людмилой финансовое учреждение не соблюдало этих процедур, отнеслось халатно, пока продолжаются расследования этого инцидента. Мы ждем результатов, мяч на стороне киберполиции, Национального банка Украины. Мы надеемся, что в ближайшее время станут известны все детали и по процедуре, и по последствиям. Я уверен, что НБУ отработает этот кейс - сделает более жесткими требования, а также контроль за соблюдением требований.

Так, приложение Дия может открываться на нескольких устройствах одновременно, без ограничений. Как говорят, это не баг, это фича. Лично я авторизованный на нескольких устройствах.

По активных сессий, в приложении вы можете увидеть все устройства, которые вы подключили к вашему аккаунту в Дии. Также вы сможете увидеть, когда был подключен устройство и документы были подписаны в рамках его сессии.

Если вы забыли где-то телефон, потеряли его - вы всегда можете завершить в 1 клик все активные сессии устройств, подключенных к вашей Дии, включая текущую сессию, то есть отключить от вашего аккаунта все сессии и затем снова авторизоваться только на нужных вам устройствах. Так вы можете контролировать все устройства, которые вы подключили к вашему аккаунту в Дии.

Всего на цифровую форму документа нельзя накладывать логику бумажного использования. Это две разные формы. Именно поэтому мы придумали шеринг, потому что нельзя отксерить смартфон, или сделать скриншот и распечатать - ведь это не та логика, которая может работать с цифровым документом.

Что касается более чувствительной технологии Дия.Пидпис, здесь уже другая система. На базе мобильного приложения можно создать подпись, если есть биометрический документ, там нейросети в том числе сравнивают лицо человека с ее лицом на документах в реестре Государственной миграционной службы. И Дия.Пидпис может быть создан только на одном девайсе.

Вопрос предоставления потребителю возможности отказаться от Дии и заблокировать авторизацию - не время. Есть за и против такой технологии, когда можно отказываться от регистрации, поскольку у нее есть обратная сторона. Нельзя сказать, что она решает вопросы и делает более безопасным использование документов - нет, она несет в себе больший риск, чем ситуация, в которой мы находимся сейчас, когда человек устанавливает приложение и подтверждает свою личность.

О доступе к Дии. Для того, чтобы получать копии документов через Дию, ПриватБанк, Новая Почта, супермаркет подписывают соответствующие документы для технической интеграции компании. То есть они проводят настройки со своей стороны, мы - со своей. В частности, мы проверяем, компания имеет право на обработку персональных данных человека, на работу с копией его паспорта.

Микрофинансовые организации имеют все основания и права работать с данными людей, копиями паспортов и тому подобное. Но после инцидента с потенциально мошенническим кредитом решили отключить от шеринга микрофинансовые организации. То есть на данный момент они не имеют возможности получать копии документов людей с Дии. Мы ждем конца расследования и возможных инструкций со стороны НБУ. Возможно, Нацбанк будет как-то иначе регламентировать этот процесс.

Мы запустили Bug Bounty приложения Дия - любой специалист по кибербезопасности может попытаться найти уязвимость, воссоздать ее, и в зависимости от уязвимости получить приз. Как работает этой сценарий? Находят уязвимость, воспроизводят. Компания-разработчик чинит уязвимость, после этого информация может стать публичной. Общий фонд у нас 1 млн грн, нам в этом помогает USAID. Bag Baunty продлится до 27 января 2022 года. Призываю на практике показать, что Дия уязвима, а если не получится - не переживать о безопасности Дии.

Роман Химич, консультант, эксперт телекоммуникационного рынка:

У меня нет своей версии истории госпожи Людмилы, потому что я полностью завишу от того, что транслируют обе стороны. Я могу лишь констатировать, что и версия, которую продвигает Минцифры, противоречит версии, которую озвучивает пострадала.

В Минцифры заявили, что сначала произошла кража финансового номера пострадавшей, а затем с помощью этого номера была выпущена карта одного из банков, полученный так называемый BankID, и уже с помощью BankID активирован экземпляр Дии. В Минцифры искренне считают, что эта схема освобождает их от ответственности.

При том, что Дия - только часть программной услуги, которая называется "электронные документы". Нам, как пользователям, не важно, как она построена. Для нас важно, чтобы в целом эта услуга не имела уязвимостей.

Выбрав в качестве одного из инструментов идентификации BankID, в отношении которого, к сожалению, уже есть существенные замечания, Минцифры тем самым сделала неверный шаг, и должен за это отвечать.

В прошлом году уже было зафиксировано появление схем, когда преступники систематически выявляют так называемые "спящие", забросить аккаунты BankID, и завладевают ими для того, чтобы брать кредиты в микрофинансовых учреждениях. Если преступники завладели чьим BankID, то они могут активировать и приложение Дия на это лицо.

Уязвимость заключается в том, что BankID основывается на нескольких допущениях, которые не соответствуют действительности. Банки не контролируют оборот этих финансовых номеров. А сами пользователи в 90% случаев получают анонимные pre-paid услуги, поэтому лишены возможности контролировать эти номера. Как результат, преступники сначала завладевают финансовым номером, а затем устанавливают контроль над BankID.

Сама Дия открывается на нескольких устройствах. А чем больше есть экземпляров документа, удостоверяющих личность, тем сложнее их контролировать. Одно дело, когда у нас есть один паспорт или смартфон. Мы можем его держать при себе. Когда их 5, 10, 15, - фактически невозможно избежать ситуаций, когда что-то потеряли, где потеряли, кто получил доступ, причем без нашего ведома. И главное: поскольку все эти экземпляры идентичны, мы никогда не знаем, с каким именно экземпляром произошла проблема.

Министерство цифровой трансформации и подчиненная ему Дия уклоняются от того, чтобы принять на себя ответственность за все, что происходит с электронными документами. Они предпочитают переложить ответственность на кого-либо - на банки, на самих пострадавших. Это - контр-продуктивная позиция.

К сожалению, на сегодняшний день нет ни одного инструмента контроля. У нас должна быть возможность отказаться от Дии и запретить ее активацию без нашего письменного согласия.

Александр Федиенко, нардеп от "Слуги народа", председатель подкомитета цифровой и смарт-инфраструктуры, электронных коммуникаций, кибербезопасности и киберзащиты комитета Верховной Рады по вопросам цифровой трансформации:

Вопросам Людмилы сейчас занимается киберполиции. На мой взгляд, пока киберполиции не даст соответствующих официальных выводов, мы можем только догадываться, как так произошло.

В своих домыслы я пришел к выводу, что, вероятно, было скомпрометировано номер госпожи Людмилы, то есть sim-карту. Далее был цепочку атаки, где было задействовано банковское учреждение. Такой механизм, к сожалению, уже много лет существует в нашей стране. Нулевая точка атаки - финансовый телефонный номер.

После того, как злоумышленники завладели соответствующим номером, аккаунтом в банковском учреждении, подключить с помощью того же BankID любые приложения - это не проблема. Кстати, для этого не требуется даже приложение Дии. Речь идет о любой приложение, которое бы требовал верификации с помощью электронной цифровой подписи.

Вопрос не в приложении Дия. Если мошенники похищают доступ к вашей финансовой карточки, там уже не имеет значения, будет ли приложение Дия, не будет. Они могут просто расширить кредитный лимит банковской карточки.

В общем, цифровизация - это, с одной стороны, очень полезная штука, а с другой - мы должны понимать, что ответственность будет везде: и на людях, которые будут пользоваться этим, и на тех, с помощью которых будут происходить эти процессы.

Я вообще говорю, что когда похищают не идентифицированных финансовый номер, то есть pre-paid, - к сожалению, правоохранительная система уже ничего не может сделать. Потому доказательная база строится именно от финансового номера. Доказать, что это был ваш финансовый номер, вы не сможете.

По возможности запретить регистрацию в Дии - в этом и сейчас нет проблемы. Те, кто хотят - пользуются те, кто не хотят - не пользуются. Нет обязанности пользоваться именно этим сервисом.

Чтобы обезопасить себя, важно помнить: мошенники есть как на улице, так и в киберпространстве. Кстати, в киберпространстве это стало сделать не так сложно.

Есть очень примитивные механизмы предотвращения. Если есть финансовый номер, он по крайней мере не должен быть привязан ко всем вашим мессенджеров, желательно вообще его не использовать для обзвона.