Резерв+ "здасть" ворогу всі персональні дані зареєстрованих у ньому

З моменту вчорашнього релізу додатка Резерв+ з’ясувалося ще кілька цікавих обставин.

1. Фахівці подивилися код додатка Резерв+ та здогадалися, що він зроблений на основі додатка для школярів Мрія. Саме тому там можна побачити такі поля як "домашні завдання", "пропущений урок", "оцінки". Але нюанс у тому, що додаток Мрія досі офіційно не запускали. Нахіба у додаток для військовозобов’язаних вставляти код додатка для школярів, який досі ще доробляють – загадка (розгадка буде в кінці).

2. З-за кордону додаток не доступний для завантаження: як для Android, так і для iOS. Хоча для тих українців, які перебувають за кордоном — це єдина можливість уточнити свої дані, сформувати відповідний електронний документ та з ним отримати таки доступ до консульських послуг. Чому так? Загадка.

3. Кажуть, вже десь є у публічному доступі АРК-файл додатка Резерв+. Можливо, так і було задумано? А чому так не зробили з "Дією"? Експеримент? Хммм, загадка.

4. Досі багато людей, які завантажили додаток, все ще не можуть в ньому авторизуватися через BankID. МОУ щось буркоче про "перевантажені сервери", але ця історія схожа на падіння "Дії" під час голосування за нацвідбір Євробачення-2024. А хіба не можна було передбачити таку ситуацію? Можна було? А чому не передбачили? Загадка.

5. BankID є єдиним з можливих засобів авторизації в додатку. Ніяких інших не передбачається. Наприклад цілком легальний ЕЦП. "Ніт, ЕЦП не працює, іди відкривати рахунок в ось цих правильних банках". Чому так? Так, загадка.

Читайте також: Чи варто довіряти додатку "Резерв+"?

Усі ці загадки доволі легко розгадати — якщо знати суть поняття "ефект Даннінга-Крюгера". Зовсім проста розгадка: ДБЛ БЛД

Понад пів року тому розумні люди спокійно їм пояснювали що треба проводити мобілізацію — не розуміли, а "самих розумних" – вигнали з класу. А от коли по-справжньому припекло – включили режим "переляканий лось біжить палаючим лісом" та нашвидкуруч зляпали на колінці напівсире Щось. І це Щось працює не просто з персональними даними громадян – а з персданими військовозобов’язаних.

А війна ніфіга не закінчується. А ворог наступає. А людей, зброї та БК на фронті не вистачає. Інформація про свіже поповнення точно буде цікавою ворожим спецслужбам.

У мене погане передчуття, що ці свіжі оновлені дані скоро будуть у росіян. Навіть не знаю звідки таке відчуття. Може тому, що так вже не раз було, останній раз коли у січні 2022 по самі гланди хакнули "Дію"? 

Читайте також: Як "Дію" перетворюють на цифрового шпигуна

Загалом, тенденція доволі очевидна: усе, що робить команда Федорова ("роль кібербезпеки перебільшена"), вписується у відомий айтівцям принцип "сяк-так і в продакшн" (в оригіналі трохи грубше). Тобто спочатку ліпимо продукт, щоб він хоч якось купи тримався, не тестуємо, не думаємо, не прораховуємо ризики, а просто вивалюємо на користувача. Будуть орати – будемо фіксити. Не будуть (або не сильно) – значить і так з’їдять. Державницький підхід "хуже нє будєт".

І це вже стало нормою для української госухи останні 5 років. Ось чому я послідовно виступаю за те, щоб держструктури не допускати до створення чогось – робота влади полягає лише встановити чесні прозорі правила та примусити усіх їх дотримуватися. У випаду технологій — сформувати критерії, надати технічне завдання, оголосити конкурс, і нехай переможець з приватного бізнесу розробляє. Як працює ВПК у Штатах. Але про це якось іншим разом.

Сьогодні ж все, як завжди у шапіто, "... а клоуни лишилися".

P.S.: З'ясувалося повідомлення про те, що завантажити додаток з-за кордону можна, коли у вашому акаунті офіційного магазину (AppStore, Google Play) ваш регіон був зазначений "Україна". Сімка — не важливо, ІР-адреса — не важливо.

Джерело

* Публікується зі збереженням стилю автора

Про автора. Костянтин Корсун, експерт з кібербезпеки

Редакція не завжди поділяє думки, висловлені авторами блогів.