Чи безпечно користуватися додатком Дія. Експертне опитування

Історія набула резонансу після публікацій у Facebook експерта з кібербезпеки Костянтина Корсуна. Наразі Кіберполіція проводить розслідування, остаточно не відомо, як діяли шахраї.

Журналістки Еспресо Ольга Чайка і Софія Когут запитали у представників влади та експертів, наскільки безпечний додаток Дія.

Костянтин Корсун, експерт з кібербезпеки, CEO Berezha Security:

У коментарі під одним із моїх дописів пані Людмила коротко виклала свою ситуацію. Як виявилося, на її ім’я оформили кредит — хоча вона цього не робила. Шахраї начебто ідентифікували її через Дію. Ми з пані Людмилою поспілкувалися по відеодзвінку. Вона мені надіслала купу документів, які також надсилала Поліції, Нацбанку, Мінцифри. По суті, їй нічого не відповіли. Майже три місяці ситуація була без вирішення. І їй продовжували телефонувати, вимагаючи повернення боргу. Ось тоді я зрозумів, що ситуація просто кричуща, і треба якось донести це до широкого загалу.

Я близько двох місяців розбирався з деякими експертами і з працівниками банків, щоб хоча б для себе зрозуміти, що ж сталося насправді, і як цьому запобігти.

Я думаю, що шахраї десь дістали копії її паспорту і коду, і зареєструвалися онлайн в одному з банків. Вони надіслали ці копії документів і пройшли ідентифікацію по відеодзвінку, адже зараз у зв’язку з COVID-19 і обмеженнями банки дозволили відкривати рахунки клієнтам без особистого відвідування банку. Коли шахраї відкрили рахунок, вони стали клієнтом банку від імені Людмили. А якщо ти вже клієнт банку, то маєш право безкоштовно отримати електронний цифровий підпис, або BankID. Маючи це, вони зареєстрували на її ім’я акаунт у Дія, хоча вона цього не робила і не планувала робити.

Отже, паспорт Людмили у Дія став легальним без неї. Мікрофінансові установи наразі зобов’язані приймати цифровий паспорт, як аналог звичайного. Таким чином шахраї взяли кредит на цей паспорт. Вони намагалися взяти ще кілька кредитів, однак у них не вийшло.

Зараз Мінцифри і Дія кажуть, що це не їх провина, а провина банку, який не дотримався певної процедури. Мені дивно таке чути, адже банк діяв виключно в межах повноважень, які йому окреслили. З цим треба розбиратися.

Основна проблема полягає в тому, що у цій ситуації немає крайніх. Система Міністерства цифрової трансформації запроваджена таким чином, що немає відповідальної організації чи людини. Міністерство скеровує до банків, банки теж кудись скеровують.

Стосовно вразливості Дія як додатку, немає достовірної інформації, хоча вона мала б бути. Наприклад, розробники ретельно приховують документи на цей додаток. Вихідний код додатку також ніхто не показує, хоча це також мало б бути відкритим. Також не показують висновки незалежних експертів чи організацій, бажано міжнародних, які б довели безпечність Дія.

Окрім того, Міністерство довіряє усім тим частинам, з яких складається інфраструктура додатків — тобто канали передачі даних шифруються не ними, сервери знаходяться десь у хмарного провайдера, нехай і українського. Мінцифри сліпо довіряє банкам, які видають клієнтам електронний цифровий підпис, — як виявилося, це теж слабка ланка.

Але немає того, хто відповідає за функціонування усієї цієї екосистеми. Чомусь Мінцифри вирішила просто довіряти всім без доказів, без якихось запобіжників. Просто взяти, сторонні рішення об’єднати в одну велику систему. Якщо виникають якісь проблеми — вони знімають з себе відповідальність, або відмовчуються.

Випадок пані Людмили показовий, тому що така ж ситуація може статися з кожним із нас. Можливо трохи зменшити ризик, якщо самому зареєструватися на порталі Дія. Не скачувати додаток, тому що там багато нез’ясованих питань, а саме на порталі. Якщо ви зареєстровані, а шахраї також захочуть зайти у ваш аккаунт, то вам прийде повідомлення.

Я переконаний, що обов’язково треба законодавчо закріпити можливість відмовитися від реєстрації у Дії. Це означає, що я, громадянин України, свідомо забороняю комусь реєструватися від свого імені у додатку Дія. Ця можливість дуже затребувана багатьма людьми, які дуже багато про це говорять і пишуть, тому що не довіряють ані додатку, ані владі загалом.

Мстислав Банік, керівник з розвитку електронних послуг в Мінцифрі:

Відповідальність за послугу залежить від суті питання. Наприклад, система Bank ID Нацбанку — це система, за яку відповідає тільки Нацбанк. Тобто вони мають відповідні атестати захисту і несуть відповідальність за свій продукт.

Що стосується можливості поділитися копією паспорта через застосунок, то в даному випадку відповідальність лежить переважно на людині.

Як відбувається цей процес? Короткий екскурс. Ви хочете відкрити рахунок у банку. Якщо це відбувається офлайн, то вам треба розблокувати телефон, відкрити Дію за допомогою цифр, або face/touch ID. Треба тапнути по паспорту, показати співробітнику банка QR/штрихкод або продиктувати 13 цифр, які розташовані під штрихкодом. Він зчитує код, і вам в Дію надходить сповіщення, що банк, таке-то відділення, запитує копію вашого документа. Якщо ви підтверджуєте передачу копії цифрового документа, до системи банку падає підписана електронним ключем PDF-ка з даними — тобто це не імітація копії, а просто перелік даних з фотографією.

Що стосується онлайну, у розрізі інциденту із кредитом є безпекові процедури на стороні різноманітних організацій, у тому числі банків. Адже Нацбанк визначив процедури, за якими має відбуватися віддалена верифікація людей, які хочуть відкрити рахунок. У ситуації із пані Людмилою фінансова установа не дотрималася цих процедур, поставилася халатно, наразі тривають розслідування цього інциденту. Ми чекаємо результатів, м’яч на стороні Кіберполіції, Національного банку України. Ми сподіваємося, що найближчим часом стануть відомі всі деталі і по процедурі, і по наслідкам. Я впевнений, що НБУ відпрацює цей кейс — зробить більш жорсткими вимоги, а також контроль за дотриманням вимог.

Так, застосунок Дія може відкриватися на кількох пристроях одночасно, без обмежень. Як кажуть, це не баг, це фіча. Особисто я авторизований на кількох пристроях. 

Щодо активних сесій, в застосунку ви можете побачити усі пристрої, які ви підключили до вашого аккаунту в Дія. Також ви зможете побачити, коли був підключений пристрій та які документи були підписані в рамках його сесії.

Якщо ви забули десь телефон, загубили його — ви завжди можете завершити в 1 клік усі активні сесії пристроїв, підключених до вашої Дія, включаючи поточну сесію, тобто відключити від вашого аккаунту усі сесії і потім знову авторизуватись тільки на потрібних вам пристроях. Так ви можете контролювати усі пристрої, які ви підключили до вашого аккаунту в Дія.

Загалом на цифрову форму документа не можна накладати логіку паперового використання. Це дві різні форми. Саме тому ми придумали шеринг, тому що не можна відксерити смартфон, або зробити скріншот і роздрукувати, — адже це не та логіка, яка може працювати із цифровим документом.

Що стосується більш чутливої технології Дія.Підпис, тут вже інша система. На базі мобільного застосунку можна створити підпис, якщо є біометричний документ, там нейромережі у тому числі порівнюють обличчя людини із її обличчям на документах у реєстрі Державної міграційної служби. І Дія.Підпис може бути створений лише на одному девайсі.

Питання надання споживачу можливості відмовитись від Дія і заблокувати авторизацію — не на часі. Є за і проти такої технології, коли можна відмовлятися від реєстрації, оскільки в неї є зворотній бік. Не можна сказати, що вона вирішує питання і робить більш безпечним використання документів — ні, вона несе в собі більший ризик, ніж ситуація, у якій ми перебуваємо зараз, коли людина встановлює застосунок і підтверджує свою особу.

Щодо доступу до Дія. Для того, щоб отримувати копії документів через Дію, ПриватБанк, Нова Пошта, супермаркет підписують відповідні документи для технічної інтеграції компанії. Тобто вони проводять налаштування зі свого боку, ми — зі свого. Зокрема, ми перевіряємо, чи компанія має право на обробку персональних даних людини, на роботу із копією її паспорта.

Мікрофінансові організації мають всі підстави і права працювати із даними людей, копіями паспортів тощо. Але після інциденту із потенційно шахрайським кредитом вирішили відключити від шерінгу мікрофінансові організації. Тобто на даний момент вони не мають можливості отримувати копії документів людей з Дія. Ми чекаємо кінця розслідування та можливих інструкцій з боку НБУ. Можливо, Нацбанк буде якось інакше регламентувати цей процес.

Ми запустили Bug Bounty застосунку Дія — будь-який фахівець з кібербезпеки може спробувати знайти вразливість, відтворити її, і залежно від рівня вразливості отримати приз. Як працює цій сценарій? Знаходять вразливість, відтворюють. Компанія-розробник лагодить вразливість, після цього інформація може стати публічною. Загальний фонд у нас 1 млн грн, нам в цьому допомагає USAID. Bag Baunty триватиме до 27 січня 2022 року. Закликаю на практиці показати, що Дія є вразливою, а якщо не вийде — не переживати щодо безпечності Дії.

Роман Хіміч, консультант, експерт телекомунікаційного ринку:

У мене немає своєї версії історії пані Людмили, тому що я повністю залежу від того, що транслюють обидві сторони. Я можу лише констатувати, що та версія, яку просуває Мінцифри, протирічить версії, яку озвучує постраждала.

В Мінцифри заявили, що спочатку сталася крадіжка фінансового номера постраждалої, а потім за допомогою цього номера була випущена картка одного з банків, отриманий так званий BankID, і вже за допомогою BankID активований екземпляр Дія. У Мінцифрі щиро вважають, що ця схема звільняє їх від відповідальності.

При тому, що Дія — лише частина програмної послуги, яка називається “електронні документи”. Нам, як користувачам, не важливо, як вона побудована. Для нас важливо, щоб в цілому ця послуга не мала вразливостей.

Обравши в якості одного з інструментів ідентифікації BankID, стосовно якого, на жаль, вже є суттєві зауваження, Мінцифри тим самим зробила хибний крок, і мусить за це відповідати.

Минулого року вже була зафіксована поява схем, коли злочинці систематично виявляють так звані “сплячі”, закинути акаунти BankID, і заволодівають ними для того, щоб брати кредити у мікрофінансових установах. Якщо злочинці заволоділи чиїмось BankID, то вони можуть активувати і застосунок Дія на цю особу.

Вразливість полягає в тому, що BankID грунтується на кількох припущеннях, які не відповідають дійсності. Банки не контролюють обіг цих фінансових номерів. А самі користувачі у 90% випадків отримують анонімні pre-paid послуги, тож позбавлені можливості контролювати ці номери. Як результат, злочинці спочатку заволодівають фінансовим номером, а потім встановлюють контроль над BankID.

Сама Дія відкривається на кількох пристроях. А чим більше є екземплярів документа, що засвідчують особу, тим складніше їх контролювати. Одна справа, коли у нас є один паспорт чи смартфон. Ми можемо його тримати при собі. Коли їх 5, 10, 15, — фактично неможливо уникнути ситуацій, коли щось загубили, десь втратили, хтось отримав доступ, при чому без нашого відома. І головне: оскільки всі ці екземпляри ідентичні, ми ніколи не знаємо, з яким саме екземпляром сталася проблема.

Міністерство цифрової трансформації та підпорядкована йому Дія ухиляються від того, щоб прийняти на себе відповідальність за все, що відбувається з електронними документами. Вони воліють перекласти відповідальність на будь-кого — на банки, на самих постраждалих. Це — контр-продуктивна позиція.

На жаль, на сьогоднішній день немає жодного інструменту контролю. У нас має бути можливість відмовитися від Дія і заборонити її активацію без нашої письмової згоди.

Олександр Федієнко, нардеп від “Слуги народу”, голова підкомітету цифрової та смарт-інфраструктури, електронних комунікацій, кібербезпеки та кіберзахисту комітету Верховної Ради з питань цифрової трансформації:

Питанням Людмили наразі займається Кіберполіція. На мій погляд, поки Кіберполіція не дасть відповідних офіційних висновків, ми можемо тільки здогадуватися, як так сталося. 

У своїх здогадуваннях я дійшов до висновку, що, ймовірно, було скомпрометовано телефонний номер пані Людмили, тобто sim-картку. Далі був ланцюжок атаки, де була задіяна банківська установа. Такий механізм, на жаль, вже багато років існує у нашій країні. Нульова точка атаки — фінансовий телефонний номер.

Після того, як зловмисники заволоділи відповідним номером, акаунтом у банківській установі, підключити за допомогою того ж BankID будь-які додатки — це не проблема. До речі, для цього не потрібен навіть додаток Дія. Йдеться про будь-який додаток, який би вимагав верифікації за допомогою електронного цифрового підпису.

Питання не в додатку Дія. Якщо шахраї викрадають доступ до вашої фінансової картки, там вже не має значення, чи буде додаток Дія, чи не буде. Вони можуть просто розширити кредитний ліміт банківської картки.

Загалом, цифровізація — це, з одного боку, дуже корисна штука, а з іншого — ми повинні розуміти, що відповідальність буде скрізь: і на людях, які будуть користуватися цим, і на тих, за допомогою яких будуть відбуватися ці процеси.

Я взагалі кажу, що коли викрадають не ідентифікований фінансовий номер, тобто pre-paid, — на жаль, правоохоронна система вже нічого не може зробити. Бо доказова база будується саме від фінансового номера. Довести, що це був ваш фінансовий номер, ви не зможете.

Щодо можливості заборонити реєстрацію у Дія — в цьому і зараз немає проблеми. Ті, хто хочуть — користуються, ті, хто не хочуть — не користуються. Немає обов’язку користуватися саме цим сервісом. 

Щоб убезпечити себе, важливо пам’ятати: шахраї є як на вулиці, так і в кіберпросторі. До речі, у кіберпросторі це стало зробити не так складно.

Є дуже примітивні механізми запобігання. Якщо вже є фінансовий номер, він принаймні не повинен бути прив’язаний до усіх ваших месенджерів, бажано взагалі його не використовувати для телефонування.