Минцифры манипулирует украинцами, разделяя «Дію» на разные продукты, считает Иван Сорочан, родственник подростка, чьи данные оказались «слиты».
Программист Иван Сорочан, который нашел в «сливе» данных из «Дії» информацию о своем 14-летнем родственнике, в комментарии Фокусу рассказал, почему считает сервис уязвимым.
«Слив» данных «Дії» подростка: что произошло
В своем Facebook инженер-программист Иван Сорочан написал, что представитель Минцифры попыталась опровергнуть его слова о вероятном «сливе» данных из приложения «Дія», указывая на путаницу со временем. Дело в том, что сначала Иван написал, что дата, найденная в фрагменте базы с информацией о его несовершеннолетнем родственнике, соответствует получению посылки на «Новой почте» с использованием государственного приложения.
Как Иван Сорочан рассказал Фокусу, после публикации новостей о «сливе» данных «Дії», он решил при помощи коллег-программистов поискать в базе себя и своих родных. В итоге удалось найти информацию о 14-летнем родственнике: его имя, фамилию, номер ID-карты, идентификационный код, номер мобильного телефона, адрес электронной почты, а также некую дату с временной пометкой (в своем посте Сорочан отмечает — «сентябрь 2021»). Сам подросток сообщил, что в этот день показывал свои документы в «Діє» на «Новой почте». Позже выяснилось, что дата, указанная в слитой базе, и дата посещения Новой почты не совпадают — отличие ровно в один день.
«На эмоциях мы сразу совершили ошибку, когда писали пост. Понимаете, утекли данные, и люди переживали, что они виноваты. Там разница в один день. Однако родственник-подросток, часто переустанавливает софт, играется с ним, перезагружает и так далее. Скорее всего, он за день до той даты из слитой базы заново установил «Дія», — поделился Иван Сорочан. — «Основной кейс в том, что он никогда не пользовался порталом. Подросток всегда пользовался «Дієй» с телефона. Поэтому я считаю, что «Дія» — это несколько разных родственных продуктов, и чиновники всегда переводят стрелки с портала на приложение, и наоборот».
Иван Сорочан напомнил, что в инфраструктуру «Дії» входит сайт (он же портал), приложение, а также «Дія.ID», которая используется для аутентификации во многих сервисах. Последняя является интегратором разных способов аутентификации, включая MobileID, BankID и КЭП (КЭП, квалифицированная электронная подпись, — ред.)».
«Всегда, когда возникают какие-то проблемы, когда что-то «слилось» или поломалось, они (чиновники Минцифры — ред.) начинают манипулировать: это та «Дія», это не та «Дія». Но нюанс именно в том, что мой родственник пользовался только приложением. Выходит, что «слили» портал, но данные из приложения в утекшей базе тоже есть. Я полагаю, что существует некая связь, синхронизация, интеграция между порталом Дія и приложением Дія. Обычным людям ведь без разницы, чем пользоваться — и получается, что их данные могут быть в слитой базе», — прокомментировал программист.
Он добавил, что в министерстве также связывают утечку данных с открытым реестром физических-лиц предпринимателей (ФЛП), одним из которых является сам Иван Сорочан. Однако 14-летний ребенок никогда не регистрировался в качестве ФЛП, ведь согласно статье 35 Гражданского кодекса Украины, это можно сделать только с 16-ти лет. Следовательно, данных юноши в реестре ФЛП быть не может, однако они все равно оказались в базе, выставленной на продажу.
Виновата ли «Новая почта»?
Мы поинтересовались у эксперта по кибербезопасности Константина Корсуна, возможна ли утечка данных из приложения «Дія» при подтверждении личности на «Новой почте». Он заявил, что сомневается в этом.
«Маловероятно, но не очень понятно, как работает механизм считывания данных из-за тотальной таинственности. Нет никакой информации, дающей возможность провести технический анализ и анализ рисков. Поэтому, в зависимости от кривости реализации сервиса, нельзя исключать возможности, что данные парня утекли подтверждении личности на «Новой почте», хотя в принципе проверяющая сторона не должна получать доступа к «Діє» в ходе проверки», — прокомментировал эксперт. — «Если министерство считает, что данные «слились» через «Новую почту», то пусть отключают возможность такой проверки. Они же МФО запретили пользоваться «Дієй» в ручном режиме».
Фокус также спросил у эксперта, какой орган регулирует деятельность частных компаний, которые считывают данные украинцев через Дию. Константин Корсун отметил, что у Минцифры нет какого-либо регламента, требований или нормативно-правовой базы для регулирования взаимодействия между госсервисом и частными компаниями вроде «Новой почты».
Ранее писали, что в «слитой» базе нашли данные 14-летнего украинца. По словам родственников, подросток получил паспорт около полугода назад и до недавнего времени пользовался исключительно приложением «Дія», а не порталом.
Эксперты также рассказали, как украинцам защититься после вероятного «слива» данных в «Діє». По словам специалистов, удаление приложения уже не поможет, однако еще можно поменять пароли и отказаться от автоматически сгенерированных цифровых подписей.