Украина - первое в мире государство, приравнявшее электронные паспорта к физическим документам
Е-паспорт отныне имеет одинаковую юридическую силу с бумажным и ID-картой. Пока украинцы отдыхали, наслаждаясь выходными, и праздновали День Независимости (24 августа) - за день до этого, 23 августа вступил в силу новый закон № 1368-ІХ, что закрепляет на наивысшем законодательном уровне определение е-паспортов и полностью приравнивает их к физическим аналогам. Отныне е-паспорта в разработанном правительством мобильном приложении «Дия» можно использовать при путешествиях наземным и авиа транспортом в пределах Украины, в банках, медицинских учреждениях, для получения административных услуг и прочего.
Недавно созданное Министерство цифровой трансформации громко и с гордостью заявляет, что «Украина стала первым государством в мире с цифровыми паспортами, которые имеют такую же юридическую силу, что и бумажные документы.» Но что может скрываться за этой инновацией? Вспомним некоторые из их новостей в недалёком прошлом.
Частично данные темы были рассмотрены в одном из спецвыпусков "IT Guild Ukraine", - часть информации будет приведена далее.
Кредит через «Дию»
Весьма громкая история, которая свидетельствует, что попасть в этот капкан может каждый. Дело было так. Жила себе гражданка, мобильной связью пользовалась по контракту, никаких «Дия» и других подозрительных приложений на телефон НЕ устанавливала. И в марте-месяце случается внезапно такой «сюрприз»: мошенники находят фотокопии паспорта, ИНН в высоком разрешении, меняют в нем фото и помещают на нечто похожее на настоящую обложку. Затем дистанционно открывают себе банковский счет - верификация в таких случаях происходит с помощью видеозвонка. И после этого уже как став полноценным клиентом банка - можно запросить ЭЦП для регистрации в... правильно, в приложении «Дия», и в остальных электронных сервисах предлагаемых Министерством.
Но вот здесь самое интересное: начинается вольница! Кроме оформления кредита можно использовать этот «документ» во всех госучреждениях, селиться в гостиницах, а также медучреждениях, регистрироваться в платежных системах, и много где ещё.
Неплохо так, да?
И сейчас становится теплее: в «Дия» присутствует возможность одновременного входа с нескольких устройств. При входе с нового - логин-сессия на предыдущих НЕ прерывается. Приходит лишь сообщение, что в аккаунт вошли с другого устройства. И все! То есть - это можно сделать абсолютно для всех: без разницы зарегистрирован человек в приложении или же нет.
Я намеренно упустил множество деталей данной схемы - иначе, как говорится, рискую быть неправильно понятным и обвинёным в пропаганде преступных действий. Но они есть! Вопрос подробно изучен. В чем собственно уязвимость? И в первоначальном проектировании - менее достоверный источник служит подтверждением для более достоверного.
Мнимая сертификация
Ещё глава сего министерства, некто Михаил Фёдоров, очень любит хвастаться наличием сертификата комплексной системы защиты информации, вроде полученный от Государственной службы специальной связи. Цитируя его: «Мы получили аттестат соответствия качества, аттестат КСЗИ. Это высокий аттестат, который свидетельствует о том, что приложение "Дия" абсолютно безопасно»- заявил он в октябре прошлого года.
Но давайте копнем немного глубже: за некоторое время до этого был сделан запрос на доступ к публичной информации, и 15 октября 2020 на него был отправлен ответ. С подписью заместителя министра, программного архитектора приложения «Дия» Алексея Выскуба. Переведя цитату из него: «Сейчас Государственным предприятием "Дия" осуществляются мероприятия по построению комплексной системы защиты информации информационно-телекоммуникационной системы портала "Дия"»... то есть, система защиты еще выстраивается, - а сертификат уже получен?
Наверное, свеженазначенный за два месяца до этого глава Государственной службы специальной связи, некто Юрий Щиголь, сделал подарок в обмен на хлебную должность. Поистине, царский.
Каждый ли на своём месте?
Компетенция личностей, которые исполняют подобную дичь, вызывает массу вопросов. Пожалуй, слово «баунти» ассоциируется у них с чем иным, как с шоколадкой... Ведь после так называемого «баг-баунти», который длился аж одну неделю, где целых 4 участника нашли аж 6 уязвимостей (на всех) - сомнений в этом точно не остаётся.
По сути, здесь у них было немного вариантов:
Если заявить, что использован весь бюджет - значит, была найдена куча уязвимостей! Бюджет проекта был слит на непрофессионалов.
Даже если пол-бюджета - всё равно, столько денег можно отдать за серьёзные уязвимости. И снова расклад не в пользу Министерства.
Если бы вообще затиснули всё до копейки, поделив между собой - так тоже нельзя: люди разочаруются, и больше не придут.
А то как они поступили, в глазах коррупционеров и доморощенных жижитализаторов выглядит Соломоновым решением: и баг-баунти провели, и уязвимости типа нашли, - галочки можно ставить.
Так вот, как говорили нам еще учителя в школах - от того, что у соседа спишешь, у самого ума не прибавится. Глядя на последнее интервью...
Здесь уже впору говорить не о Министре цифровой трансформации, - а о цифровой трансформации Министра. Начав самых что ни на есть основ матчасти.
Еще дополнительно эти аспекты были рассмотрены в интервью с Константином Корсуном - одним из ведущих специалистов по кибербезопасности в Украине на тему «Кибербезопасность в МинЦифри»:
Корявая «жижитализация» обернулась тюремным заключением
Совсем недавно имел место подобный случай для 71-летнего жителя города Нетешин. Городской суд этого районного центра Хмельницкой области утвердил соглашение о признании вины в мошенничестве предусмотренном частью 3 статьи 190 Уголовного кодекса Украины между 71-летним младшим научным сотрудником Нетешинского краеведческого музея В. и прокуратурой. Соответствующее решение опубликовано в судебном реестре. По версии следствия, в апреле 2021 В. узнал из СМИ о возможности получить 8000 гривен из госбюджета. В. подал заявку через приложение «Дия», хотя продолжал получать зарплату в полном объеме, даже когда город Нетешин попал в «красную» зону. 12 мая он получил деньги. Музейщика обвинили в мошенничестве, совершенном путем незаконных операций с использованием электронно-вычислительной техники. Преступление наказывается лишением свободы от трех до восьми лет. Поскольку В. пошёл на сделку со следствием и признал вину, суд назначил ему наказание в виде трех лет лишения свободы условно с испытательным сроком в один год.
В этой новости, как говорится, прекрасно всё. И то, что обвиняемый продолжал работать. И то, что всё оформлялось сугубо через приложение. И судья, который натянул сову на глобус. Неужели не происходило ни верификации данных при проверке после подачи заявки? И даже подпись не была нужна!
В который раз хотим спросить - насколько безопасно это приложение? Насколько защищённым является такая вот «уравниловка»?
Почему авторизация выполняется только с помощью номера телефона? А как же 2FA (Two-Factor Authentication, или двухфакторная авторизация по словам министра Фьёдорова) и стандарт PCI DSS. Ведь с помощью «Дия» можно выполнять ряд банковских и финансовых операций. Например, есть определенные государственные органы, недобросовестные работники которых имеют возможность клонировать сим-карту в своих целях.
Какие еще преимущества, недостатки, может даже угрозы видите Вы в этом нововведении? Поделитесь опытом подобных реализаций в своих странах. Были ли какие-нибудь инциденты связанные с безопасностью и утечкой данных?
Комментарии (130)
cranium256
26.08.2021 12:57+3У вас неправильное голосование. В нём должны быть не радио-кнопки, а чек-боксы.
Angmarets
26.08.2021 13:15+2Всю суть жижитализации прочувствовал, когда пришел в пенсионный фонд с ID картой(на которой сзади черными цифрами по желто-синему написан ИНН) а меня послали за отдельной бумажной справкой о присвоении ИНН потому что "так нада".
AlexandrDP
26.08.2021 13:17Так виновата дия? "жижитализация"? пенсионный?
Angmarets
26.08.2021 13:24+4Виновата жижитализация, а вернее люди, которые её криво внедряют. Из-за криво внедрённой ID карты к ней всё равно нужно в довесок везде таскать "выписку из реестра" aka прописка.
Виноват пенсионный, которому зачем то нужно ИНН(вернее РНОКПП) отдельной бумажкой, хотя он есть на ID карте.AlexandrDP
26.08.2021 13:30+1Т.е. виновата Дия/ИД-карта, потому что ИНН требуют в пенсионном?
Angmarets
26.08.2021 13:36+2вам сложно воспринимать текст длиннее одной строки?
AlexandrDP
26.08.2021 13:38-1Вы не понимаете как работают государственные органы?
Angmarets
26.08.2021 13:42+3А почему вы отвечаете вопросом на вопрос? Вы таки еврей?
AlexandrDP
26.08.2021 13:46что из этого вас больше беспокоит?
Angmarets
26.08.2021 13:48А кто вам сказал, что меня это беспокоит?
AlexandrDP
26.08.2021 13:55Не беспокоит?
AlexandrDP
26.08.2021 14:05Это очень важно для понимания, что же не так в дии/стране/"жижитализация".
Diamos
26.08.2021 16:30Человек довольно определённо сказал, кто по его мнению являются виновниками.
Ваша попытка выставить опонента дурачком провалилась. Как в поговорке — «хотел помочиться, но забыл расстегнуть ширинку».
AlexandrDP
26.08.2021 17:33Кому-то нужно решать, кому-то критиковать, кому-то спрашивать. Спросить всегда можно
TheShock
26.08.2021 13:58+1Виноват пенсионный, которому зачем то нужно ИНН(вернее РНОКПП) отдельной бумажкой, хотя он есть на ID карте.
Это нормально во время переходного этапа. Пока все тугие бюрократические организации подтянутся - это займёт немало времени. Но мы уже идём по этому пути и постепенно все такие недостатки отомрут.
Angmarets
26.08.2021 15:20+1ID карты ввели в октябре 2016-го, история из пенсионного фонда - декабрь 2020-го. Я бы понял год, может два. Прошло уже четыре года. Но циферки на задней части карты всё ещё видимо не такие, как цифры на куске бумаги из налоговой
В каждой долбаном месте где нужна карта - нужен и кусок мятой бумаги, на котором написано за каким барином я закрёплён. Последнее время вроде пришла "жижитализация" - теперь дают не кусок бумаги, а присылают то же pdf-кой с QR-кодом на телефон. В банках и налоговой вроде прокатывает, в пенсионный фонд с такой PDF-кой ходить ещё не пробовал.TheShock
27.08.2021 11:36+1Это плохо, но это ожидаемо. И вина не карт, не идеи, а туговатого пенсионного фонда.
Jokerzp
26.08.2021 13:19+7Статья больше похожа на истерику, нежели хоть на что-нибудь конкретное.
И в марте-месяце случается внезапно такой «сюрприз»: мошенники находят фотокопии паспорта, ИНН в высоком разрешении, меняют в нем фото и помещают на нечто похожее на настоящую обложку. Затем дистанционно открывают себе банковский счет - верификация в таких случаях происходит с помощью видеозвонка. И после этого уже как став полноценным клиентом банка - можно запросить ЭЦП для регистрации в... правильно, в приложении «Дия», и в остальных электронных сервисах предлагаемых Министерством.
Технология BankID, которая используется при авторизации в Дия (как один из вариантов) как раз и рассчитана на удаленную аутентификацию пользователя. То, что мошенники по поддельным документам смогли пройти верификацию с помощью видеозвонка - вопрос к процессу верификации, а не к приложению Дия, которая опирается на BankID.
То есть - это можно сделать абсолютно для всех: без разницы зарегистрирован человек в приложении или же нет.
Для чего государству просить регистрацию пользователей, база которых у него уже есть? Государство должно знать своих граждан, остается вопрос лишь в авторизации/верификации. Приложение - лишь интерфейс для доступа к уже существующим реестрам, процесс регистрации пройден при вашем рождении или при передачи данных банкам.
Процитируя его: «Мы получил аттестат соответствия качества, аттестат КСЗИ. Это высокий аттестат, который свидетельствует о том, что приложение "Дия" абсолютно безопасно»- заявил он в октябре прошлого года.
...
Переведя цитату из него: «Сейчас Государственным предприятием "Дия" осуществляются мероприятия по построению комплексной системы защиты информации информационно-телекоммуникационной системы портала "Дия"»... то есть, система защиты еще выстраивается, - а сертификат уже получен?
Приложение и портал - разные сервисы.
Ведь после так называемого «баг-баунти», который длился аж одну неделю, где целых 4 участника нашли аж 6 уязвимостей (на всех) - сомнений в этом точно не остаётся.
Так чего же вы не подали заявку и не нашли все критические уязвимости, коих по вашим заверениям, там просто уйма?
27 июля должен был начаться второй этап баг баунти, открытый для всех.
Почему авторизация выполняется только с помощью номера телефона?
Не только. Авторизация происходит через BankID - пользователь должен иметь доступ в приложение банка (который работает с BankID, а соответственно, соответствуют требованиям для работы с технологией).
Как гражданин страны, должен отметить, что продукты Минцифры - это пока лучшее, что я видел из сервисов государства. Идеальны ли? Нет. Но результат их работы невозможно не заметить.
Чуть больше месяца назад я стал папой, уже успел опробовать одну очень полезную услугу под названием "єМалятко". Примерно за 1 час я заполнил форму для получения 9 различных услуг. В течении недели получил уведомления о регистрации ребенка во всех нужных реестрах и о готовности свидетельства о рождении. Еще год назад мне бы пришлось потратить несколько рабочих дней, обивая пороги целой кучи различных гос. структур (со всем спектром полагающихся эмоций при этом).
itguildua Автор
26.08.2021 13:31+1Истерик здесь нигде нет - есть факты. Прочтите пожалуйста ещё раз от начала и до конца внимательно.
В первом случае - вопрос к проектировщикам приложения, которые выбрали для верификации документа столь уязвимый способ.
Тех кто подал и нашёл - культурно так "послали"... А министр и вся его команда поблокировали везде, в ответ на комментарии.
Замечательно, - пусть занимаются тем что у них получается: "еМалятко" это весьма положительный пример. Поздравляем, кстати, с пополнением в семье.
Но при этом не лезут в то в чём не соображают - это я о "Дия" и цифровом колхозе "Дия-сити".vova4ka_ua
26.08.2021 13:37+1У вас действительно истерика от одного слова "Дия".
"В первом случае - вопрос к проектировщикам приложения, которые выбрали для верификации документа столь уязвимый способ." - как можно подтвердить пользователя по другому? написать кучу бумажек, и везти в гос.орган лично?
верификация через банкоское приложение, вдумайтесь! То, что кто то может получить доступ к банковскому приложению не есть дырой в "Дия"
Jokerzp
26.08.2021 13:38В первом случае - вопрос к проектировщикам приложения, которые выбрали для верификации документа столь уязвимый способ.
Прежде чем быть голословным, почитайте про саму технологию прежде - https://bankid.org.ua
Тех кто подал и нашёл - культурно так "послали"... А министр и вся его команда поблокировали везде, в ответ на комментарии.
Можно подробней, пожалуйста? Кого послали, при каких обстоятельствах? Если "послали", почему уязвимости в паблик не пошли? С удовольствием бы почитал хорошую техническую статью с подробностями.
Layan
26.08.2021 15:16У вас неправильная ссылка. BankID — это технология ПриватБанка/УБКИ. Сейчас используется другая, схожая по смыслу — BankID НБУ.
По крайней мере НБУ, в требованиях к организациям требует всегда писать «BankID НБУ», так как технологии разные. В НБУ интеграции используется дополнительное шифрование при передаче данных.
tangro
26.08.2021 13:45+11Вы подчёркиваете удобство пользования услугами, но удобство, как правило, является противоположностью безопасности. Просто подумайте вот о чём: в каком-то далёком колл-центре банка под Жмеринкой сейчас сидит девочка (с зарплатой 200 баксов в месяц), у которой есть право подтвердить верификацию вашей личности при удалённой регистрации счёта в банке по копии паспорта. И вот дальше у мошенников появится ваше ЕЦП, с которым, мало того, что можно в банке всяких дел намутить, так ещё и можно залогиниться в главное, блин, приложение для коммуникации гражданина и государства. А там уже "удобство пользования" начнёт играть против Вас, ибо как вам было удобно воспользоваться "єМалятком", так кому-то будет удобно за Вас открыть ФОП, проголосовать, взять кредит, а может, например, развестить с женой или продать квартиру. Вот тогда "порадуетесь" удобству.
Банки НЕ ДОЛЖНЫ быть источником верификации граждан. Это, блин, коммерческие структуры, ориентированные на зарабатывание денег. Их сотрудники присяги не давали, госслужащими не являются и ответственности за действия мошенников в Дие нести не будут. Архитектура Дии корява от начала до конца.
Jokerzp
26.08.2021 13:48Вы забываете, что банки очень жестко контролируются НБУ. Погуглите, сколько кругов ада нужно пройти для получения сертификации от НБУ и как легко ее потерять. И да, девочка из Жмеринки несет ответственность.
tangro
26.08.2021 13:53+9Да перестаньте. У нас даже нотариусы не несут никакой ответственности. Сколько было случаев непонятной смены собственников - и каждый раз нотариус заявлял что-то типа "меня взломали", "я потерял ключ", "я этого действия не выполнял". Одна как-то сказала "я была беременна и не осознавала своих действий". Никого не посадили, хотя уж в отношении нотариата прям отдельные законы есть, и отдельные статьи криминального кодекса. Девочка скажет "мне показалось, что всё правильно" - и ничего ей никто не предъявит.
Jokerzp
26.08.2021 14:01-6Считаю, что вы сгущаете краски. Согласно вашей логики, тогда делать ничего не нужно? Ради доступа в личный кабинет, нужно как в Ощадбанке, пойти написать письменное заявление исключительно в отделение, в котором выдавалась карта.
Diamos
26.08.2021 17:00+4По моему мнению, человек как раз транслирует реальность, а вы — розовый мир.
банки очень жестко контролируются НБУ
я вас прошу)) В Украине?? я в банкинге умудрился оформить и получить детскую карточку на чужого ребенка. После сканирования документов ребенка поступил звонок, где они просили предоставить документы, что я являюсь опекуном. Естественно, документов таких нет и процедура приостановилась. Через время приложение напомнило о возможности заказать доставку карты новой почтой и надпись «проверка не завершена» сменилась на что-то типа «получить карту по нп». Я из любопытства заказал карту. Позже я решил написать в тех.поддержку с подробным описанием уязвимости. И, о чудо! Через пол дня на выданной карте появилась плашка «Документы забракованы». Вот что НБУ реально контролирует — так это вопрос налогов и всего, что связано с отъёмом ваших денег.
У меня есть еще пару свежих историй с беспределом банков, но не хочется омрачать ваше представление о реальности…
P.S. Мое отрицательное к этому отношение не меняет положительных сторон идеи. Как говорится, идея — агонь, реализация — г.но.
bgBrother
27.08.2021 19:51+2Ознакомьтесь со случаем идентификации Joe Biden в петициях Украины. Каким образом выдуманный гражданин Украины прошёл идентификацию? Кто за это наказан? Никто?
Diamos
28.08.2021 00:23и да, на счет Ощадбанка враньё. Доступ личный кабинет по номеру телефона. Никаких письменных заявлений и похода в отделение.
AlexandrDP
26.08.2021 13:52А кто должен быть источником верификации граждан? ЦНАПы (там все наверное ответственность несут)? Или нужно еще орган создать?
tangro
26.08.2021 13:58+5Всё отлично работало с, например, налоговой, которая выдавал ЕЦП при физическом визите человека к ним, с паспортом и ИНН. Даже можно было дома у себя его сгенерить, а им только публичный ключ принести. Вот это, я понимаю, надёжность. А тут тебе удалённо по фотке паспорта и ЕЦП выдают, и счёт, и электронный пасспорт и вообще всё.
vova4ka_ua
26.08.2021 14:06По одному фото никто ничего не даст. Нужно в любом случае подтверждение через распознавание лица
tangro
26.08.2021 14:08+2Ну так вот же в статье описан случай, когда это без проблем обошли. Это же не теория, это уже случилось.
AlexandrDP
26.08.2021 14:11Т.е. налоговая гарантировала что не выдаст ключ левому человеку, а если что - будет нести ответственность?
xpert13
27.08.2021 10:00+1Вот кстати тоже про это подумал: там в банке девочка сидит за 200 дол. в месяц, а в налоговой пойди 1000 получают? Та же девочка с такой же зарплатой может сидеть и в налоговой. Так что хрен редьки не слаще.
tangro
27.08.2021 17:53Такая же, ага. Вот только физический визит в налоговую оставляет физический след. Ты проходишь мимо камер, охраны, предъявляешь бумажные документы, фоткаешься, пишешь от руки заявление и расписываешься ручкой по бумаге. Это всё потом может быть использовано следователем. А что использовать при онлайн-верификации? Скриншот с камеры, где в разрешении 320х240 крутится какая-то похожая (или не похожая?) голова мошенника? Шансов на успех расследования куда меньше.
bgBrother
27.08.2021 21:19Нужно улучшать текущие процессы, а не ухудшать новыми, ещё более небезопасными.
AlexandrDP
26.08.2021 13:19Дия упростила мошеничество или можно было это и без Дии организовать?
itguildua Автор
26.08.2021 13:22+6Добавила ещё один способ для мошенников. И это с учётом того что на её разработку и раскрутку было потрачено миллиарды бюджетных средств.
AlexandrDP
26.08.2021 13:27Именно дия, не банки (сторонние сервисы)?
tangro
26.08.2021 13:48+2Дия добавила вектор атаки. Раньше при доступе мошенников к счёту в банке вы рисковали только деньгами на этом счету. Теперь вы вообще чёрт его знает, чем рискуете, ибо Дия потенциально даёт доступ к любым гос.услугам, сделкам, документам и т.д. Я понимал, как действовать для защиты счёта в банке. И я нифига не понимаю, как теперь защититься от Дии.
AlexandrDP
26.08.2021 14:01-2письменность -> телеграф > телефон > интеренет > мобильный телефон добавили вектор атаки, можно бороться с ними или с мошенниками
tangro
26.08.2021 14:07+2Ну хоть мы пришли к согласию, что таки да, вектор атаки добавился.
Вопрос в том, стоит ли овчинка выделки. Мы получили ещё одну возможность потерять очень многое ради экономии очень малого.
AlexandrDP
26.08.2021 14:33-3Конечно не стоит, жаль что проводной телефон не везде сейчас можно поставить, а по радио банки не хотят работать
Alex_GDI
26.08.2021 14:50Дия тут как раз не причем. Вы не думали, что любой УЦ мог выпустить на вас ЭЦП ещё до существования Дии и подписывать им договоры?
А в Дии чтобы получить ЭЦП (Дия ID) вы должны войти в приложуху и пройти проверку по лицу, чтобы получить сертификат. Это второй фактор.
В случае со статьей, мошенники переслали копии документов из Дии через шеринг документов. Подтверждение личности или подпись какого либо договора в данном случае не выполняется.
tangro
27.08.2021 17:56Дия тут как раз не причем...
мошенники переслали копии документов из Дии через шеринг документов. Подтверждение личности или подпись какого либо договора в данном случае не выполняется.
Как эти два предложения согласуются? Как Дия может быть не при чём, если через неё выполнялись определённые действия, ещё и не требующие подписи и подтверждения личности?
Alex_GDI
27.08.2021 18:12Мошенники могли отправить копии паспорта как до Дии так и сейчас. Передача копий через Дию не является подтверждением личности. Если МФО нарушает закон в части проведения идентификации, этим должен заниматься Национальный банк. Дия никак эту ситуацию не меняет.
bgBrother
27.08.2021 21:31Передача копий через Дию не является подтверждением личности
Министерство заявляет противоположное — шеринг документом является подтверждением личности (3-й абзац). И это при том, что злоумышленникам удалось зайти воспользоваться этим функционалом без участия владельца документов…
bgBrother
27.08.2021 21:24Вы не думали, что любой УЦ мог выпустить на вас ЭЦП ещё до существования Дии и подписывать им договоры?
Какую юридическую силу это имело тогда, когда эл. подпись не была уравнена к физической? Какие действия можно было совершить? На данный момент Дия увеличила количество опираций, которые можно было совершить. В следствии этого риски мошенничества гораздо выше.вы должны войти в приложуху и пройти проверку по лицу, чтобы получить сертификат. Это второй фактор.
Уже на каждом углу говорят, что эту проверку через специальные бесплатные приложения удалось пройти. Вы проверяли насколько это безопасно?В случае со статьей, мошенники переслали копии документов из Дии через шеринг документов.
А каким образом они вообще вошли в Дию без участия человека? Почему это в принципе возможно?Alex_GDI
27.08.2021 21:30А каким образом они вообще вошли в Дию без участия человека? Почему это в принципе возможно?
Насколько известно из этой истории - был взломан банкинг, потом при помощи авторизации через BankID злоумышленники попали в Дию и передали копии документов.
Какую юридическую силу это имело тогда, когда эл. подпись не была уравнена к физической? Какие действия можно было совершить? На данный момент Дия увеличила количество опираций, которые можно было совершить. В следствии этого риски мошенничества гораздо выше.
ЭЦП была уравнена к физической задолго до Дии. ЭЦП могли похитить или выпустить в ненадёжном УЦ и всё было бы точно так же. МФО выдали кредит без подписи. Это на их совести.
bgBrother
27.08.2021 21:44был взломан банкинг, потом при помощи авторизации через BankID злоумышленники попали в Дию
Так вот и спрашивается — почему идентификация личности завязана на ненадежные механизмы банков и ещё более ненадёжные СМС? О «ненадёжных механизмах» заявлял сам министр, но при этом не решил исключить этот способ аутентификации. Я могу долго и упорно рассуждать о механизмах безопасности, которые предлагались разными людьми, но все они были проигнорированы.ЭЦП была уравнена к физической задолго до Дии
Каким законом утверждается, что ЭЦП сравнима с физической подписью и подтверждает личность? ЭЦП применялась исключительно в некотором списке операций. Теперь эл. паспорт (внутри ЭЦП) сравнили с физическим.
Напоминаю — предоставлялся доступ только к некоторым услугам. Теперь их список сильно расширен. К примеру, как недавно передали, разрабатывается услуга онлайн-нотариусов. Многих ужасает, что через взлом банка по СМС можно будет и любую услугу у нотариуса совершить.
Опять же, вместо добавления новых векторов атаки следует улучшать текущие механизмы. Не добавлять, а улучшать.
irbis_al
26.08.2021 13:47-2Ну ведь всегда когда развивается проект есть какие-то побочные неприятные эффекты..Дорогу должен осилить идущий...Дия это реально классный сложный проект...
Тут же на Хабре была статья как в России через ЭЦП-КЭП мошенничество с недвижимостью было.И тут же запретили такие операции (в Росии вообще во всех непотнятный ситуациях тут же запрещают, что бы то ни было).
Не бойтесь учтут те проблемы ДИЯ и без запретов поднимут качество приложения и услуг.
Почему Вы например не поднимаете эту тему на DOU Украинском ИТ-портале?
itguildua Автор
26.08.2021 14:09+3Поднимали.
https://dou.ua/forums/topic/34467/irbis_al
26.08.2021 14:16-2Но там навскидку(прочтнеие по диагонали) совершенно другая статья.Тут Вы даже обезьяну с гранатой приципили в картинку.(что на мой взгляд довольно оскарбительно)
Реально Украина ...да с ошибками с проблемами идет вперед...тот же Прогамный РРО какой шаг вперед.(В Росии 4-6 дармоедов предпринимателю надо кормить чтоб чек из аппарата до налоговой дошел .....про ПРРО им и не снилось)
Nomad1
26.08.2021 14:46+1Я бы предпочел, чтобы вопросы идентификации меня как гражданина не сопровождались "ошибками и проблемами" за мой счет и с живым тестом на людях, которые получают потом кредиты или тюремное заключение. Система должна быть протестирована на самом высоком уровне, а не так как вышли на днях цифровые сертификаты COVID, где в поле surname попадает имя, а в forename фамилия.
irbis_al
26.08.2021 14:58-1Лично у Вас проблемы с ДИей Были?
У Меня и у круга моих знакомых не было.Фамилию с именем перепутал оператор в сертификате COVID. что вы от программы хотите-то? Чтоб она имя проверяла по справочнику имен?
А насчет кредитов и тюремных заключений...То нужно достойное оппонирование этим фактам.
Эту статью надо на DOU ,-Возможно там найдуться эксперты,что скажут,что это было не так или не совсем так и история ещё не закончена и имеет(будет иметь совсем другой конец)
Nomad1
26.08.2021 15:06>> Лично у Вас проблемы с ДИей Были?
Не было, но это не является аргументом. Вероятность проблем в 0.01% скорее всего не затронет никого из вашего круга знакомств, но будут 40000 счастливчиков в стране, которых затронет. Точно такие же были разговоры про COVID.
>> Фамилию с именем перепутал оператор в сертификате COVID. что вы от программы хотите-то? Чтоб она имя проверяла по справочнику имен?
Хочу, чтобы нажав в программе "получить сертификат" я его получал на свое имя. Вроде как не много от сертифицированного продукта, сделанного за мои деньги, как налогоплательщика.
>> А насчет кредитов и тюремных заключений...То нужно достойное оппонирование этим фактам.
Нужно чтобы их не было. Вообще не было, а если вдруг баг после месяцев тестирования пролез в продакшн, то чтобы это разработчики и должностные лица признавали и исправляли, включая компенсации пострадавшим. Пока что мы слышим очень странные (напала "звездная болезнь"?) отписки от архитектора системы и странные комментарии от сочувствующих анонимусов, которые наверное тоже из команды разработки.
Arioch
26.08.2021 20:30Фамилию с именем перепутал оператор в сертификате COVID. что вы от программы хотите-то? Чтоб она имя проверяла по справочнику имен?
Если Дия - это электронный паспорт, то она и так знает ваше/моё имя.
В таком случае паспорт (программа) должен:
выдавать сертификат на ваше имя, а не на имя Васи Пупкина вбитого неизвестным оператором в какую-то там БД
в случае расхождения имени реального (заведомо, повторяю, известного паспорту) и в сертификате фиксировать ненормальную ситуацию и инициировать процедуру исправления данных.
bgBrother
27.08.2021 21:52+1Лично у Вас проблемы с ДИей Были? У Меня и у круга моих знакомых не было.
Хотите сказать, что если лично вас автобус не переехал, то проблемы аварий нет? Указывали на аргументированные проблемы. Этого достаточно.
unsignedchar
26.08.2021 15:04-1Система должна быть протестирована на самом высоком уровне, а не так
Нужно делать хорошо, а плохо делать не нужно!
ЗЫ: с неправомерным получением ковидосубсидии — реальный трешъ. Но дижитализация тут нипричём, разве что в обвинении появилась фраза про использование компьютерных средств. Он точно так же мог написать заяву на получение субсидии на бумаге.Nomad1
26.08.2021 15:18Пофантазирую: люди этого возраста считают, что на бумаге это серьезно и нарушение, а вот в этих тырпырнетах раз нажал на кнопочку и оно разрешило, то значит все в порядке. Деталей, конечно же не знаю, может там принципиальный нарушитель порядка был на самом деле.
unsignedchar
26.08.2021 15:43Нарушение в том, что он получил деньги. Субсидия, как я понимаю, только для потерявших работу. Жаль, что не привлекли
сообщникачиновника, одобрившего получение субсидии без проверки.
bgBrother
27.08.2021 21:57+1Нужно делать хорошо, а плохо делать не нужно!
Вы считаете нормальным, что а) приложение не проходит сертификацию; б) министерство не предоставляет информацию о прохождении сертификации; в) упускаются из вида уязвимости; г) не рассматривается вопрос нац. безопасности критических операций страны?
Bringoff
26.08.2021 17:11в «Дия» присутствует возможность одновременного входа с нескольких устройств. При входе с нового - логин-сессия на предыдущих НЕ прерывается.
Подпись хранится только на одном устройстве, и при попытке подписать какой-то документ на новом устройстве она создаётся заново.
bgBrother
27.08.2021 22:03Каким образом это защищает от операций, незаметных для владельца личности? Один из исследователей рассматривал этот случай и выяснил, что зайти без ведома владельца возможно — использованы различные ухищрения — : а) определение доступности СИМ-карты через услуги провайдеров; б) определённый момент занятости человека; в) глушилка связи; г) и другое.
Важно рассматривать и те случаи, когда у владельца Дия ранее установлена не была.Bringoff
28.08.2021 10:28Какой исследователь и где?
Ну и даже если допустить, что кто-то войдет на новом устройстве, для создания новой подписи на этом устройстве нужно подтверждение личности.
bgBrother
28.08.2021 11:58Какой исследователь и где?
Один из организаторов ГО «Украинский Кибер Альянс» на своем канале. Это подтверждают и другие лица.для создания новой подписи на этом устройстве нужно подтверждение личности
Вы упускаете ряд моментов. К примеру, этот. Дополню, что есть понятие «моделирование». Мы живём в мире с как минимум тремя x,y,z. Как считаете, у вас приемлемые навыки поиска информации, к примеру, в сторах?Bringoff
28.08.2021 12:28Один из организаторов ГО «Украинский Кибер Альянс» на своем канале. Это подтверждают и другие лица.
Вы упускаете ряд моментов. К примеру, этот.
ранее исследователем заявлялось, что механизм недостаточно надежен и его обходит бесплатное приложение, работающие с фотографией человека
"на своем канале", "подтверждают", "заявлялось". Но где доказательства, Билли? :) Хотелось бы увидеть ссылки на эти исследования и высказывания, а не только ваш пересказ.
Особенно интересует это заявление
для тестировщиков безопасности было опубликовано приложение с другими методами верификации
Как считаете, у вас приемлемые навыки поиска информации, к примеру, в сторах?
Не понял вообще связь вопроса с нашим разговором, и какие вторы имеются в виду. Но в целом, давайте считать, что приемлемые.
bgBrother
28.08.2021 20:20Хотелось бы увидеть ссылки на эти исследования и высказывания, а не только ваш пересказ.
Для этого сначала отмените несколько статей криминального кодекса, пожалуйста.для тестировщиков безопасности было опубликовано приложение с другими методами верификации
Речь о версии приложения из BugBounty.Не понял вообще связь вопроса с нашим разговором
У вас есть все возможности проверить то, что я сказал. Достаточно поискать в сторе.
rastych
26.08.2021 17:46+1Но ведь даже если мошенническим способом обманув банк авторизоваться через BankID в Дие на новом телефоне, то ЭЦП там не будет и на этом вектор атаки обламывается.
А получить кредит на чужое имя по ксерокопии паспорта - история стара как мир, относится к мутным кредитным организациям и коррумпированным сотрудникам банков, такое было до Дии, есть и будет, для этого и Дия не нужна.
bgBrother
27.08.2021 22:10ЭЦП там не будет и на этом вектор атаки обламывается
Дия сама может выпускать ЭЦП для пользователя.rastych
28.08.2021 08:04Может, но злоумышленник верификацию не пройдет и никакого ЭЦП не получит. Да там и легального владельца с трудом узнает эта их распознавалка лица.
bgBrother
28.08.2021 09:31+1злоумышленник верификацию не пройдет и никакого ЭЦП не получит
К вашему сведению, ранее исследователем заявлялось, что механизм недостаточно надежен и его обходит бесплатное приложение, работающие с фотографией человека. Чтобы скрыть это, для тестировщиков безопасности было опубликовано приложение с другими методами верификации. Для всех остальных — ничего не изменилось.
robert_ayrapetyan
26.08.2021 18:14+2А меня Дия развела. Отсканировал номер на паспорте, приложился к nfc, крутил головой перед камерой - в итоге ошибка и все заново. Так что если у вас нет банк. акка - не ведитесь, тупо сбор персональных данных непонятно кем.
artemzechev
27.08.2021 13:00-1А в чём, собственно, дыра? Кредит взяли не через Дию. Залогинились в неё — это да. Но проблема не в этом изначально. Пуш есть. Но там говорят, что приложения не было у человека. А 2FA куда слать? Оно через банк так-то проходит.
sza
27.08.2021 13:02+1Ненавижу таких псевдо-айти-патриотов, которые дискредитируют всю идею на основании собственных выдумок. Благодаря таким как Вы, до сих пор любая бумажка занимает недели и месяцы в Украине и обвешана "решалами" и бытовой корупцией "за срочность" и прочее.
Есть отлиная идея и её нужно всем сообществом внедрять. Государству в этом - помогать. А ты иди вон получи справку о составе семьи легальным образом сходи - тебя быстро попустит.
Сливы идут не из дии, а из всех предприятий предоставляющих сервисы. Дия позволит хотя бы молодым людям отслеживать чтобы их данные никем более не использовались. Этот проект не для 2021 года. Он для этого века - начало решения о безбумажной идентификации.
Но вы так конечно похороните его в Украине - там достаточно совковых бабушек чтобы воспринимать ваши статьи всерьёз. В итоге такая вещь появится на западе и за океаном, а вы будете собирать ворохи бумаг и стоять в месячных очередях и оплачивать решалам бессмысленные справочки.Nomad1
27.08.2021 13:18+2Сделайте хорошо и мы будем только рады! Не закрывайте bug bounty программу и люди будут постоянно сообщать о проблемах. Признавайте свои ошибки и выкладывайте документацию по API на github - им станут пользоваться и другие разработчики и сообщать если что-то не так.
Но сейчас же реально ситуация удручающая - разработчики считают себя мушкетерами, между собой багрепортеров называют сопляками и ***сосами, а в ответ на обоснованную критику (перепутаны поля в API, = сертификат вакцинации недействителен) придумывают сказки про "оператор неправильно вбил". Ну а то, что творится в этом топике с волной защитников с 0 постами это вообще за гранью, ведь IT специалисты должны в первую очередь думать о безопасности. Представьте себе, что эти люди делают самолет и не особо задумываются о мелочах, вроде проваливания людей в сортир, ведь "самолет и дальше летит нормально". Но мы все уже в этом самолете и выбора нет, как не было у женщины с кредитом!
sza
27.08.2021 14:35-1Сорян конечно, что у меня тут ноль постов. Но вы сути не понимаете - есть технический дискурс и конкретные "испольнители". А есть тренд и репутация. Это не первый пост на эту тему раздумают по интернетам.
Репутация всей идеи катится к нулю. Бабушки Петровна и Илинишна уже под подъездом обсуждают как их обкрадёт зеленский тем что у него их паспорта в компьютере. Этого добились, это пожалуйста. Ведь примеры приведённые в статье притянуты за уши или как раз указывают на то что процесс дёт в нужное русло. Покажите мне программу и ли проект которые были успешны с первого релиза? И нотариусы и приличные банки научатся считывать рфид. А неприличные лишатся лицензий по результатам комиссий и решений суда. Апи поправят, а пенсии петровны и илинишны никто просто так №из телефона" не украдет, пока они сами мошенникам из тюрьмы не продиктуют свои данныеNomad1
27.08.2021 14:53+1Илинишны и Петровны и не узнают о ситуации, если разработчики будут принимать баг репорты сами, а не через пинок в новостных ресурсах другой страны (!!). Мой коллега, не профильный тестер, но периодически находит проблемы и пытается их репортить, на что получает негативный фидбек или его отсутствие. Вопрос решается только через инсайдеров, которые форвардят это разработчикам, в процессе выслушивая про всяких там советчиков. Я бы сказал, что репутация для IT сообщества уже под вопросом, а если не заручиться его поддержкой, то выходит, что и делается все для пенсионеров, а не прогрессивной молодежи. Погуглите про переписку с архитектором системы на тему opt-in и opt-out. * Ну и в любом случае, сохранять репутацию методом умалчивания проблем или вообще цензуры это, кхм, тоже странно.
При чем, тренд мне откровенно нравится. Но процесс не идет в нужное русло, потому как вместо коммуникации происходит мискоммуникация, а заодно виден сомнительный QA. Начальство сказало запилить сертификаты вакцинации к дню независимости? Окей, пилим как-попало, лишь бы успеть.
>> Покажите мне программу и ли проект которые были успешны с первого релиза
Наверное, вы хотели сказать "корректно работали", а не "успешны"? Успешность для государственного продукта не измеряется. Примеров же весьма много, например, банковские приложения проходят тотальную проверку и несколько уровней тестирования, софт для самолетов и автомобилей, медицинских аппаратов. Я не помню случаев, чтобы у HBSC или Citibank кто-то мог авторизоваться в приложении после его удаления. Делайте, делайте хорошо, слушайте свою ЦА, тестируйте - тогда будет вам и репутация.
*первые статьи показывают тексты для петровн, eb**e.it тоже не очень информативно, но вы уж постарайтесь, эта информация есть очень показательна.
Nick0las
27.08.2021 15:20+3Вы мешаете все в кучу.
Внедрение цифровых технологий по идее должно уменьшить количество справок до ~0 просто потому что любой чиновник сможет сам запросить данные на вас при наличии обращения от вас автоматически. Бумажная система сообщений когда сам проситель носит сообщения от разных гос органов друг другу ногами просто отомрет.
Получение де факто удаленного доступа к государственным сервисам это очень серьезная вещь. И многих в том числе и меня не радует что это можно сделать с помощю ключей полученных на мое имя в каком-то банке. В идеале хочется чтобы была государственная система аутентификации например по лицу и первая регистрация в ней - только при личном присутствии с документами. А тут опять сдедали дыру в безопасности ради простоты регистрации в системе.
При нынешнем уровне безопасности системы вообще хотелось бы сходить и написать бумажное заявление чтобы возможность регистрации в этой дие и действий через нее для меня отключили и не включали пока не напишу заявление о включении. Не знаю, возможно ли.
Nomad1
27.08.2021 16:17+1При нынешнем уровне безопасности системы вообще хотелось бы сходить и написать бумажное заявление чтобы возможность регистрации в этой дие и действий через нее для меня отключили и не включали пока не напишу заявление о включении. Не знаю, возможно ли.
Не возможно. Вы уже там, они получили доступ ко всем гражданам страны и внесли их в систему. Для отказа должна быть реализована система opt-out, вот что на счет нее сказал архитектор Дии:
Nick0las
27.08.2021 16:33Проблема не в том что мои данные в базе а в том что потенциально кто угодно через уязвимость может начать действовать от моего имени через приложение. И хороо бы чтобы каждый мог деактивировать приложение и активировав сходив ногами в центр обслуживания населения с пасспортом.
Nomad1
27.08.2021 16:37Ну вот в цитате было сказано, что архитектор против этого. Надеюсь, что огласка повлияет на его мнение. А потом, через годик-другой, после адекватного аудита и багфикса, можно подумать о том, чтобы пользоваться или вообще перейти с бумажных документов на электронные. Но не в принудительном порядке на сырую версию без возможности отписки.
Diamos
27.08.2021 16:52+1Ненавижу таких псевдо-айти-патриотов, которые дискредитируют всю идею на основании собственных выдумок.
Ненавижу таких комментаторов, которые намеренно перекручивают суть сказанного. Благодаря таким как вы дискредитируется сама возможность конструктивной критики действий правительства.
Автор статьи не идею дискредитировал, а реализацию этой идеи. Сама идея замечательная, но к безответственной реализации такой серьезной вещи большие вопросы.
Такая же история с частными судебными исполнителями (закон был принят, емнип в 2016м). Идея отличная, основанная на мировой практике и призвана уменьшить коррупцию. А что в итоге? Исполнителям полностью развязаны руки для беспредела, чем некоторые из них и занимаются в сговоре с микрофинансовыми организациями, при этом реальной ответственности ноль. Они могут по запросу любой микрофинансвой организации заблокировать все счета человека. И если человек обратился в суд и через суд доказал (в лучшем случае через пол года), что у него нет долгов, суд обязывает банки разблокировать счета. Но микрофинансовой организации не составляет никакого труда сменить исполнителя и заблокировать счета повторно и так до бесконечности. Законодательство просто никак не регулирует этот вопрос. Собственно, этот пример основан на реальных событиях моей сотрудницы, которая уже 2 года судится. Мы снова приходим к тому, что хорошая идея может быть испоганена правительством. А боязнь критиковать правительство приведет к еще бОльшим последствиям.
sergey_prokofiev
27.08.2021 13:56Натянули сову на глобус. Уже сегодня десятки различныз приложений хранят и обрабатывают личные данные. Базы регулярно сливают. Кредиыт по ксероксу паспорта выдают левым людям в промышленном масштабе.
Ну все проблемы в дие, да. Аж целый один(!) подтвержденнный случай мошенничества.
bgBrother
27.08.2021 22:26+1Натянули сову на глобус. Уже сегодня десятки различныз приложений хранят и обрабатывают личные данные. Базы регулярно сливают. Кредиыт по ксероксу паспорта выдают левым людям в промышленном масштабе.
Считаете, что должно быть ещё одно место, через которое это делают? До сих пор кредит с человека не снят.Ну все проблемы в дие, да
Это дополнительная проблема, да.Аж целый один(!) подтвержденнный случай мошенничества.
Обращений по этому поводу больше, чем одно. Среди журналистов были цифры более чем в 50 тыс. случаев. Именно этот случай привлёк внимание из-за того, что его многократно публиковали. Если бы не публикации, то и этот кредит до сих пор не выясняли бы. Более того, кредит не снят, ситуация не решена.sergey_prokofiev
06.09.2021 13:40Считаете, что должно быть ещё одно место, через которое это делают? До сих пор кредит с человека не снят.
Считаю что масштабы проблемы преувеличены. По сути дела из единичной мухи раздули популяцию слонов всей планеты.
Среди журналистов были цифры более чем в 50 тыс. случаев.
Дада, но они все такие секретные, что никто никому ничего не скажет. Странно только что ограничились 50 тыщ, а не 500 млн.
ARfan
27.08.2021 15:12Пункт 1. Никогда и никому не отправлять скан своего паспорта. Максимум - паспортные данные.
Пункт 2. Какие проблемы сделать получение ЕЦП через 2-факторную верификацию? И вообще все подобные операции (включая вход с другого устройства) проверять через привязанный мобильный номер?
bgBrother
27.08.2021 22:32И вообще все подобные операции (включая вход с другого устройства) проверять через привязанный мобильный номер?
Проверка через мобильные номера не является безопасной. За последние несколько лет было более двух десятков публичных случаев угона СМС без угона мобильного номера.
mrlika
27.08.2021 15:13"Дія" как и любой другой онлаин сервис не совершенен. Совершенность это бесконечное количество времени разработчиков, которое стоит бесконечное количество денег. По этому за совершенный код моей команды никто платить не хочет. Мы пишем заведомо несовершенный код, который принесет бизнесу успех в критериях скорости, стоимости и качества. "Дія" меня полностью устраивает. И подозреваю что есть 600+ человек из вашей IT-гильдии, которые машут кулачком и пальчиком, как на видео, притендуя на роль Министра Цифровой Трансформации.
Есть Monobank. Отделений у него нет. Прошел верификацию онлайн. Теперь и через него есть BankID. Могу зайти в "Дія".Внимание вопрос: зачем мне заходить через BankID в "Дія" если мне сразу выдали кредитную карту с 30000 грн. лимитом? Я смог этот лимит обналичивать (комисия 4%) и делать с него покупки (без комисии).Ответ: Monobank может потерять штуку баксов если выдаст BankID левому человеку.Я не против возмещать кредиты и другие оплошности "Дія" как налогоплательщик 40-милионной страны в обмен на удобство. Так как и не против интернета, сотовой связи с симками, интернета через спутники, криптовалют, ИИ, ракет Земля-Луна-Марс и других инноваций, которые добавляют в нашу жизнь массу удобства и немного, решаемых по мене возникновения, проблем с безопасностью.
itguildua Автор
27.08.2021 15:14Ваше право, конечно, но чем это в итоге обернётся - большущий вопрос.
Нас глупо упрекать в сопротивлении инновациям - мы всё же объединяем ИТ-специалистов своей страны.
Главное, чтобы это было профессионально и качественно, - а не с подходом профанов.
unsignedchar
27.08.2021 15:42+1Я не против возмещать кредиты и другие оплошности «Дія»
Я — категорически против. Но тут проблема не в приложении, а в ростовщиках, раздающих кредиты без верификации.Есть Monobank. Отделений у него нет. Прошел верификацию онлайн. Теперь и через него есть BankID. Могу зайти в «Дія».Внимание вопрос: зачем мне заходить через BankID в «Дія» если мне сразу выдали кредитную карту с 30000 грн. лимитом?
Можно пройти верификацию с ксерокопией паспорта (в статье утверждают что можно).
Можно оформить ковидосубсидию (и подвести хозяина паспорта под уголовное дело).
Можно оформить цифровую подпись и продать квартиру.mrlika
27.08.2021 16:16-1Онлайн-сервисы результат эволюции Интернета. Они упростили мошенничество и наплодили уязвимостей во многих, если не во всех сферах. Давайте зрить в корень и закроем Интернет, запретим мобильную связь, собьём спутники Маска. За одно защитим детей от призывов к самоубийству и усложним распространение детской порнографии. Одни плюсы...
mrlika
27.08.2021 16:34-1Интернет сделал возможным очень много разных опасных "можно", и ваш список не полон. Но человечество с этим как-то живет. Правда некоторые страны начали банить Интернет. Надеюсь, что из-за таких, как вы этого не случится у нас в том же масштабе.
Не буду озвучивать свой часовой рейт, дабы не травмировать вас суммами, которые я теряю, стоя в очередях в рабочее время за бумажками. Так что я тоже категорически, но ЗА.
unsignedchar
27.08.2021 17:24+1Не буду озвучивать свой часовой рейт, дабы не травмировать вас суммами, которые я теряю, стоя в очередях в рабочее время за бумажками.
Почему бы не послать слугу? Обеспеченный господин не может отправить слугу? :DТак что я тоже категорически, но ЗА.
Любопытно бы узнать, за что именно. Потому что повесить чужой долг на обеспеченного человека это куда интереснее, чем на пенсионера.mrlika
27.08.2021 19:08Да я бы рад, но слуге надо сделать пластику лица, что-бы максимально был похож на меня, научить подписываться так же, как и я, выдать оригиналы документов.
Но такой слуга еще более небезопасен чем Дія.
ЗА борьбу с корупцией, бюрократией.unsignedchar
27.08.2021 20:50ЗА борьбу с корупцией, бюрократией
Я тоже за все хорошее и против всего плохого. Пока что - всё только хорошее. Онлайн сервисы, удобно, да. И ломать там пока нечего. А когда туда завезут цифровую подпись, с помощью которой можно продать квартиру или машину, например?
ilammy
28.08.2021 06:11+1Такой богатый, а не знаете про доверенности.
mrlika
30.08.2021 18:53Не приписывайте мне то, что я не говорил. О моих знаниях вы тоже понятия не имеете. Расказывать вам, что оформлять что-то у нотариусов тоже занимает время, и приводить другие аргументы нелепости вашего высказывания принципиально не буду...
tangro
27.08.2021 18:29Ответ: Monobank может потерять штуку баксов если выдаст BankID левому человеку.
Вот именно. В случае монобанка ущерб очень понятен и ограничен, вот этой штукой баксов. Даже если каким-то способом мошенники выпустят эту карту на меня, и Монобанк доколебётся до меня - я рискую всё той же штукой баксов. А теперь вопрос - чем я рискую, если Монобанк залогинит меня в Дию и даст возможность от моего имени взаимодействовать с государством? А чёрт его знает чем. Это плохо.
mrlika
27.08.2021 19:26-1Взломать или обойти безопасность можно любого онлаин сервиса. Задача сервиса сделать это нерентабельным и рисковым занятием. Лучший способ для Дія и государства решить все проблемы это по-раньше выйти в продакшин. Именно так многие успешные продукты обходят конкурентов, которые тратят уйму денег и времени делая "идеальный" продукт, который к моменту релиза уже потерял рынок.
Nomad1
28.08.2021 10:58+1Я, к сожалению, не совсем уверен в конкуренции и рынке в этом контексте. Конкурент Дии - бумажный паспорт и очередь за талончиком "на только спросить"? Тогда приложение по всем параметрам впереди. Ну и если будет баг в вашем рыночном приложении, то пользователи могут уйти к другому. В нашем случае пользователи могут уйти лишь назад к бумажной бюрократии или в тюрьму, если баг серьезный.
unsignedchar
28.08.2021 15:19+2Лучший способ для Дія и государства решить все проблемы это по-раньше выйти в продакшин
Кого нужно опередить любой ценой?
Именно так многие успешные продукты обходят конкурентов
Какие конкуренты имеются в виду?
mrlika
30.08.2021 16:34Не буду отвечать на эти очевидные вопросы. В правительствах государств мировых лидеров они не возникают. Видимо для вас Украина должна оставаться серой посредственностью и плестись в конце говоря "какие конкуренты", "кого опередить"
("любой ценой" это ваша фраза. Некрасиво формулировать предложения, приписывая то, что не говорили)
unsignedchar
02.09.2021 09:37Не буду отвечать на эти очевидные вопросы. В правительствах государств мировых лидеров они не возникают.
Я не знаю, что за вопросы возникают в правительствах мировых лидеров, правда. Но на простой вопрос (без троллинга) ожидается получить простой ответ (без демагогии).
Видимо для вас Украина должна оставаться серой посредственностью
Это ваши слова. Я ничего подобного не говорил.
vova4ka_ua
"Кредит через «Дию»" "И в марте-месяце случается внезапно такой «сюрприз»: мошенники находят фотокопии паспорта, ИНН в высоком разрешении, меняют в нем фото и помещают на нечто похожее на настоящую обложку " - так а при чем тут "Дия"? если в банке можно открыть счет по сканкопиям, виновата тут "Дия"? Вход в "Дию" по ключу, тут все ок, в самой "Дие" никаких сканкопий паспорта нету. Какие то необоснованные придирки.
А идентификация везде по "Дия" это очень круто работает. Пока не везде, но работает. Я думал тут будет разбор вытока данных из "Дии", а тут разбор утечки персональных данных "откуда то"
itguildua Автор
То есть факт того что в "Дию" можно зайти через банк, когда менее доверенный источник подтверждает более доверенный, а не наоборот - Вы считаете нормальным?
vova4ka_ua
Вопрос - при чем тут "Дия" к кредиту, если открыв счет в банке, уже можно набрать кредитов без "Дии"?
itguildua Автор
Ответ: для кредита требуется ещё одна верификация удостоверения личности, которое можно мошенническим способом оформить в приложении "Дия". А с недавних пор оно приравнено к полноценным документам, со всеми вытекающими.
Shished
Приложение - это замена паспорта. Нельзя просто взять и получить кредит на чужой паспорт.
mrBarabas
Ребят, я лично плохо отношусь к Дие, но относительно Вашего текста могу только констатировать натягивание совы на глобус. Да, нельзя сказать, что все хорошо, но ругать вот именно за это Дию, это мягко говоря не очень.
tangro
Дия к кредиту вот именно что должна быть не при чём. Она должна иметь собственные, не зависимые от банка механизмы верификации пользователей. И, если банк, выдавший ЕЦП, просит Дию подтвердить подлинность человека, то Дия НЕ ДОЛЖНА подтверждать эту подлинность на основании ЕЦП этого самого банка. Бред какой-то получается. Идиоты писали это всё.
vova4ka_ua
Бред у вас получается. Для чего тогда ЕЦП, если его нельзя использовать для подтверждение личности?
tangro
Во-первых, мне бы хотелось, чтобы ЕЦП, выданное банком, удостоверяло мою личность для этого банка, а не вообще для всех в мире. Почему государство должно верить банку?
Во-вторых, мне бы не хотелось, чтобы ЕЦП выдавалось удалённо. Да, я знаю, "карантин", "жижитализация", вот это всё. Нет. Я хочу физический визит, с бумажными документами, к живому человеку. Чтоб подпись на бланке, ксерокопия пасспорта, фотку на камеру. Это всё оставляет след, которые в последствии может быть приложен к расследованию. А вот этот "удалённый ЕЦП" можно только к унитазу приложить, с внутренней стороны.
Hocok_B_KapMaHe
На самом деле у банка информации о вас больше, чем у государства.
Arioch
вот только президжента и парламент банка вы не выбираете, даже теоретически, так что банк вам ничем не обязан
Давайте немного усложним схему, тем более возможно так и было, выше нигде не говорилось, что банк был всего лишь один.
Банк А создаёт злоумышленнику фальшивый паспорт ("Дию" на умытого бомжа на ваше имя)
Банк Б выдаёт по нему кредит злоумышленнику на ваше имя.
Банк В, Магазин Г, туристическая компания Д,.....
К кому претензии предъявлять? Банк Б все сделал по закону. Банк А с вами ни в каких отношениях не состоит и ничего вам не обязан.
tangro
Информации больше, а мотивации её использовать для моей защите в сторонних сервисах (которым является Дия) - меньше. Я банку налоги не плачу, за руководство его на выборах не голосую и за госуслугами к нему не обращаюсь. С чего бы ему переживать за мою безопасность в Дие?
Psionic
Это вообще катастрофа, дело в том что любой чих с банком по действию сложнее оплаты квитанции или покупки валюты требует кучу ваших данных. Следовательно у вас будет банковский аккаунт даже если вы просто покупали в магазине бытовой техники комплект для оборудования кухни в кредит. Как это все хранится и как попадет в третьи руки - это целая история. Также банковские работники создают далеким от ПК клиентам банковские аккаунты сами, давая логин и пароль на бумаге, пароли стандартные, чессность банковского сотрудника - тоже русская рулетка.
Ну и вишенка на торте - иногда банк может дать удаленную регистрацию просто введя отфонарный, но действительный мобильный номер и ИНН этого человека. Есть банковский аккаунт - есть ДИЯ.