Украина - первое в мире государство, приравнявшее электронные паспорта к физическим документам

Е-паспорт отныне имеет одинаковую юридическую силу с бумажным и ID-картой. Пока украинцы отдыхали, наслаждаясь выходными, и праздновали День Независимости (24 августа) - за день до этого, 23 августа вступил в силу новый закон № 1368-ІХ, что закрепляет на наивысшем законодательном уровне определение е-паспортов и полностью приравнивает их к физическим аналогам. Отныне е-паспорта в разработанном правительством мобильном приложении «Дия» можно использовать при путешествиях наземным и авиа транспортом в пределах Украины, в банках, медицинских учреждениях, для получения административных услуг и прочего.

Недавно созданное Министерство цифровой трансформации громко и с гордостью заявляет, что «Украина стала первым государством в мире с цифровыми паспортами, которые имеют такую ​​же юридическую силу, что и бумажные документы.» Но что может скрываться за этой инновацией? Вспомним некоторые из их новостей в недалёком прошлом.

Частично данные темы были рассмотрены в одном из спецвыпусков "IT Guild Ukraine", - часть информации будет приведена далее.

Кредит через «Дию»

Весьма громкая история, которая свидетельствует, что попасть в этот капкан может каждый. Дело было так. Жила себе гражданка, мобильной связью пользовалась по контракту, никаких «Дия» и других подозрительных приложений на телефон НЕ устанавливала. И в марте-месяце случается внезапно такой «сюрприз»: мошенники находят фотокопии паспорта, ИНН в высоком разрешении, меняют в нем фото и помещают на нечто похожее на настоящую обложку. Затем дистанционно открывают себе банковский счет - верификация в таких случаях происходит с помощью видеозвонка. И после этого уже как став полноценным клиентом банка - можно запросить ЭЦП для регистрации в... правильно, в приложении «Дия», и в остальных электронных сервисах предлагаемых Министерством.

Но вот здесь самое интересное: начинается вольница! Кроме оформления кредита можно использовать этот «документ» во всех госучреждениях, селиться в гостиницах, а также медучреждениях, регистрироваться в платежных системах, и много где ещё.

Неплохо так, да?
И сейчас становится теплее: в «Дия» присутствует возможность одновременного входа с нескольких устройств. При входе с нового - логин-сессия на предыдущих НЕ прерывается. Приходит лишь сообщение, что в аккаунт вошли с другого устройства. И все! То есть - это можно сделать абсолютно для всех: без разницы зарегистрирован человек в приложении или же нет.

Я намеренно упустил множество деталей данной схемы - иначе, как говорится, рискую быть неправильно понятным и обвинёным в пропаганде преступных действий. Но они есть! Вопрос подробно изучен. В чем собственно уязвимость? И в первоначальном проектировании - менее достоверный источник служит подтверждением для более достоверного.

Мнимая сертификация

Ещё глава сего министерства, некто Михаил Фёдоров, очень любит хвастаться наличием сертификата комплексной системы защиты информации, вроде полученный от Государственной службы специальной связи. Цитируя его: «Мы получили аттестат соответствия качества, аттестат КСЗИ. Это высокий аттестат, который свидетельствует о том, что приложение "Дия" абсолютно безопасно»- заявил он в октябре прошлого года.

Но давайте копнем немного глубже: за некоторое время до этого был сделан запрос на доступ к публичной информации, и 15 октября 2020 на него был отправлен ответ. С подписью заместителя министра, программного архитектора приложения «Дия» Алексея Выскуба. Переведя цитату из него: «Сейчас Государственным предприятием "Дия" осуществляются мероприятия по построению комплексной системы защиты информации информационно-телекоммуникационной системы портала "Дия"»... то есть, система защиты еще выстраивается, - а сертификат уже получен?

Наверное, свеженазначенный за два месяца до этого глава Государственной службы специальной связи, некто Юрий Щиголь, сделал подарок в обмен на хлебную должность. Поистине, царский.

Каждый ли на своём месте?

Компетенция личностей, которые исполняют подобную дичь, вызывает массу вопросов. Пожалуй, слово «баунти» ассоциируется у них с чем иным, как с шоколадкой... Ведь после так называемого «баг-баунти», который длился аж одну неделю, где целых 4 участника нашли аж 6 уязвимостей (на всех) - сомнений в этом точно не остаётся.

По сути, здесь у них было немного вариантов:

  • Если заявить, что использован весь бюджет - значит, была найдена куча уязвимостей! Бюджет проекта был слит на непрофессионалов.

  • Даже если пол-бюджета - всё равно, столько денег можно отдать за серьёзные уязвимости. И снова расклад не в пользу Министерства.

  • Если бы вообще затиснули всё до копейки, поделив между собой - так тоже нельзя: люди разочаруются, и больше не придут.

  • А то как они поступили, в глазах коррупционеров и доморощенных жижитализаторов выглядит Соломоновым решением: и баг-баунти провели, и уязвимости типа нашли, - галочки можно ставить.

Так вот, как говорили нам еще учителя в школах - от того, что у соседа спишешь, у самого ума не прибавится. Глядя на последнее интервью...

Здесь уже впору говорить не о Министре цифровой трансформации, - а о цифровой трансформации Министра. Начав самых что ни на есть основ матчасти.

Еще дополнительно эти аспекты были рассмотрены в интервью с Константином Корсуном - одним из ведущих специалистов по кибербезопасности в Украине на тему «Кибербезопасность в МинЦифри»:

Корявая «жижитализация» обернулась тюремным заключением

Совсем недавно имел место подобный случай для 71-летнего жителя города Нетешин. Городской суд этого районного центра Хмельницкой области утвердил соглашение о признании вины в мошенничестве предусмотренном частью 3 статьи 190 Уголовного кодекса Украины между 71-летним младшим научным сотрудником Нетешинского краеведческого музея В. и прокуратурой. Соответствующее решение опубликовано в судебном реестре. По версии следствия, в апреле 2021 В. узнал из СМИ о возможности получить 8000 гривен из госбюджета. В. подал заявку через приложение «Дия», хотя продолжал получать зарплату в полном объеме, даже когда город Нетешин попал в «красную» зону. 12 мая он получил деньги. Музейщика обвинили в мошенничестве, совершенном путем незаконных операций с использованием электронно-вычислительной техники. Преступление наказывается лишением свободы от трех до восьми лет. Поскольку В. пошёл на сделку со следствием и признал вину, суд назначил ему наказание в виде трех лет лишения свободы условно с испытательным сроком в один год.

В этой новости, как говорится, прекрасно всё. И то, что обвиняемый продолжал работать. И то, что всё оформлялось сугубо через приложение. И судья, который натянул сову на глобус. Неужели не происходило ни верификации данных при проверке после подачи заявки? И даже подпись не была нужна!

В который раз хотим спросить - насколько безопасно это приложение? Насколько защищённым является такая вот «уравниловка»?

Почему авторизация выполняется только с помощью номера телефона? А как же 2FA (Two-Factor Authentication, или двухфакторная авторизация по словам министра Фьёдорова) и стандарт PCI DSS. Ведь с помощью «Дия» можно выполнять ряд банковских и финансовых операций. Например, есть определенные государственные органы, недобросовестные работники которых имеют возможность клонировать сим-карту в своих целях.

Какие еще преимущества, недостатки, может даже угрозы видите Вы в этом нововведении? Поделитесь опытом подобных реализаций в своих странах. Были ли какие-нибудь инциденты связанные с безопасностью и утечкой данных?

Комментарии (130)


  1. vova4ka_ua
    26.08.2021 12:52
    +2

    "Кредит через «Дию»" "И в марте-месяце случается внезапно такой «сюрприз»: мошенники находят фотокопии паспорта, ИНН в высоком разрешении, меняют в нем фото и помещают на нечто похожее на настоящую обложку " - так а при чем тут "Дия"? если в банке можно открыть счет по сканкопиям, виновата тут "Дия"? Вход в "Дию" по ключу, тут все ок, в самой "Дие" никаких сканкопий паспорта нету. Какие то необоснованные придирки.

    А идентификация везде по "Дия" это очень круто работает. Пока не везде, но работает. Я думал тут будет разбор вытока данных из "Дии", а тут разбор утечки персональных данных "откуда то"


    1. itguildua Автор
      26.08.2021 13:09
      +5

      То есть факт того что в "Дию" можно зайти через банк, когда менее доверенный источник подтверждает более доверенный, а не наоборот - Вы считаете нормальным?


      1. vova4ka_ua
        26.08.2021 13:12
        +3

        Вопрос - при чем тут "Дия" к кредиту, если открыв счет в банке, уже можно набрать кредитов без "Дии"?


        1. itguildua Автор
          26.08.2021 13:18
          +6

          Ответ: для кредита требуется ещё одна верификация удостоверения личности, которое можно мошенническим способом оформить в приложении "Дия". А с недавних пор оно приравнено к полноценным документам, со всеми вытекающими.


          1. Shished
            26.08.2021 17:53

            Приложение - это замена паспорта. Нельзя просто взять и получить кредит на чужой паспорт.


          1. mrBarabas
            26.08.2021 21:45
            +4

            Ребят, я лично плохо отношусь к Дие, но относительно Вашего текста могу только констатировать натягивание совы на глобус. Да, нельзя сказать, что все хорошо, но ругать вот именно за это Дию, это мягко говоря не очень.


        1. tangro
          26.08.2021 13:36
          +9

          Дия к кредиту вот именно что должна быть не при чём. Она должна иметь собственные, не зависимые от банка механизмы верификации пользователей. И, если банк, выдавший ЕЦП, просит Дию подтвердить подлинность человека, то Дия НЕ ДОЛЖНА подтверждать эту подлинность на основании ЕЦП этого самого банка. Бред какой-то получается. Идиоты писали это всё.


          1. vova4ka_ua
            26.08.2021 14:00
            -4

            Бред у вас получается. Для чего тогда ЕЦП, если его нельзя использовать для подтверждение личности?


            1. tangro
              26.08.2021 14:03
              +9

              Во-первых, мне бы хотелось, чтобы ЕЦП, выданное банком, удостоверяло мою личность для этого банка, а не вообще для всех в мире. Почему государство должно верить банку?

              Во-вторых, мне бы не хотелось, чтобы ЕЦП выдавалось удалённо. Да, я знаю, "карантин", "жижитализация", вот это всё. Нет. Я хочу физический визит, с бумажными документами, к живому человеку. Чтоб подпись на бланке, ксерокопия пасспорта, фотку на камеру. Это всё оставляет след, которые в последствии может быть приложен к расследованию. А вот этот "удалённый ЕЦП" можно только к унитазу приложить, с внутренней стороны.


              1. Hocok_B_KapMaHe
                26.08.2021 17:38

                На самом деле у банка информации о вас больше, чем у государства.


                1. Arioch
                  26.08.2021 19:40
                  +1

                  вот только президжента и парламент банка вы не выбираете, даже теоретически, так что банк вам ничем не обязан

                  Давайте немного усложним схему, тем более возможно так и было, выше нигде не говорилось, что банк был всего лишь один.

                  1. Банк А создаёт злоумышленнику фальшивый паспорт ("Дию" на умытого бомжа на ваше имя)

                  2. Банк Б выдаёт по нему кредит злоумышленнику на ваше имя.

                  3. Банк В, Магазин Г, туристическая компания Д,.....

                  К кому претензии предъявлять? Банк Б все сделал по закону. Банк А с вами ни в каких отношениях не состоит и ничего вам не обязан.


                1. tangro
                  27.08.2021 18:38

                  Информации больше, а мотивации её использовать для моей защите в сторонних сервисах (которым является Дия) - меньше. Я банку налоги не плачу, за руководство его на выборах не голосую и за госуслугами к нему не обращаюсь. С чего бы ему переживать за мою безопасность в Дие?


      1. Psionic
        26.08.2021 16:30
        +1

        Это вообще катастрофа, дело в том что любой чих с банком по действию сложнее оплаты квитанции или покупки валюты требует кучу ваших данных. Следовательно у вас будет банковский аккаунт даже если вы просто покупали в магазине бытовой техники комплект для оборудования кухни в кредит. Как это все хранится и как попадет в третьи руки - это целая история. Также банковские работники создают далеким от ПК клиентам банковские аккаунты сами, давая логин и пароль на бумаге, пароли стандартные, чессность банковского сотрудника - тоже русская рулетка.

        Ну и вишенка на торте - иногда банк может дать удаленную регистрацию просто введя отфонарный, но действительный мобильный номер и ИНН этого человека. Есть банковский аккаунт - есть ДИЯ.


  1. cranium256
    26.08.2021 12:57
    +3

    У вас неправильное голосование. В нём должны быть не радио-кнопки, а чек-боксы.


    1. itguildua Автор
      26.08.2021 13:07

      Можем попробовать и так - пускай будет несколько вариантов.


  1. Angmarets
    26.08.2021 13:15
    +2

    Всю суть жижитализации прочувствовал, когда пришел в пенсионный фонд с ID картой(на которой сзади черными цифрами по желто-синему написан ИНН) а меня послали за отдельной бумажной справкой о присвоении ИНН потому что "так нада".


    1. AlexandrDP
      26.08.2021 13:17

      Так виновата дия? "жижитализация"? пенсионный?


      1. Angmarets
        26.08.2021 13:24
        +4

        Виновата жижитализация, а вернее люди, которые её криво внедряют. Из-за криво внедрённой ID карты к ней всё равно нужно в довесок везде таскать "выписку из реестра" aka прописка.

        Виноват пенсионный, которому зачем то нужно ИНН(вернее РНОКПП) отдельной бумажкой, хотя он есть на ID карте.


        1. AlexandrDP
          26.08.2021 13:30
          +1

          Т.е. виновата Дия/ИД-карта, потому что ИНН требуют в пенсионном?


          1. Angmarets
            26.08.2021 13:36
            +2

            вам сложно воспринимать текст длиннее одной строки?


            1. AlexandrDP
              26.08.2021 13:38
              -1

              Вы не понимаете как работают государственные органы?


              1. Angmarets
                26.08.2021 13:42
                +3

                А почему вы отвечаете вопросом на вопрос? Вы таки еврей?


                1. AlexandrDP
                  26.08.2021 13:46

                  что из этого вас больше беспокоит?


                  1. Angmarets
                    26.08.2021 13:48

                    А кто вам сказал, что меня это беспокоит?


                    1. AlexandrDP
                      26.08.2021 13:55

                      Не беспокоит?


                      1. Angmarets
                        26.08.2021 14:01

                        А почему вам интересно что меня беспокоит, а что - нет?


                      1. AlexandrDP
                        26.08.2021 14:05

                        Это очень важно для понимания, что же не так в дии/стране/"жижитализация".


                      1. Angmarets
                        26.08.2021 14:09

                        А вы не читали мой второй комментарий?


                      1. AlexandrDP
                        26.08.2021 14:17

                        Да, вслепую ответил


                      1. Diamos
                        26.08.2021 16:30

                        Человек довольно определённо сказал, кто по его мнению являются виновниками.
                        Ваша попытка выставить опонента дурачком провалилась. Как в поговорке — «хотел помочиться, но забыл расстегнуть ширинку».


                      1. AlexandrDP
                        26.08.2021 16:35
                        -1

                        Важно что вы справились на отлично и за всех


                      1. Angmarets
                        26.08.2021 17:18

                        А почему вы за всех решили? Вы тут таки самый главный?


                      1. AlexandrDP
                        26.08.2021 17:23

                        Благодарю за признание


                      1. Angmarets
                        26.08.2021 17:24

                        А с чего вы взяли что я что-то признал? Уже и спросить нельзя?


                      1. AlexandrDP
                        26.08.2021 17:33

                        Кому-то нужно решать, кому-то критиковать, кому-то спрашивать. Спросить всегда можно


                      1. Angmarets
                        26.08.2021 17:38

                        А кто вас поставил решать кому что нужно?


        1. TheShock
          26.08.2021 13:58
          +1

          Виноват пенсионный, которому зачем то нужно ИНН(вернее РНОКПП) отдельной бумажкой, хотя он есть на ID карте.

          Это нормально во время переходного этапа. Пока все тугие бюрократические организации подтянутся - это займёт немало времени. Но мы уже идём по этому пути и постепенно все такие недостатки отомрут.


          1. Angmarets
            26.08.2021 15:20
            +1

            ID карты ввели в октябре 2016-го, история из пенсионного фонда - декабрь 2020-го. Я бы понял год, может два. Прошло уже четыре года. Но циферки на задней части карты всё ещё видимо не такие, как цифры на куске бумаги из налоговой

            В каждой долбаном месте где нужна карта - нужен и кусок мятой бумаги, на котором написано за каким барином я закрёплён. Последнее время вроде пришла "жижитализация" - теперь дают не кусок бумаги, а присылают то же pdf-кой с QR-кодом на телефон. В банках и налоговой вроде прокатывает, в пенсионный фонд с такой PDF-кой ходить ещё не пробовал.


            1. TheShock
              27.08.2021 11:36
              +1

              Это плохо, но это ожидаемо. И вина не карт, не идеи, а туговатого пенсионного фонда.


  1. Jokerzp
    26.08.2021 13:19
    +7

    Статья больше похожа на истерику, нежели хоть на что-нибудь конкретное.

    И в марте-месяце случается внезапно такой «сюрприз»: мошенники находят фотокопии паспорта, ИНН в высоком разрешении, меняют в нем фото и помещают на нечто похожее на настоящую обложку. Затем дистанционно открывают себе банковский счет - верификация в таких случаях происходит с помощью видеозвонка. И после этого уже как став полноценным клиентом банка - можно запросить ЭЦП для регистрации в... правильно, в приложении «Дия», и в остальных электронных сервисах предлагаемых Министерством.

    Технология BankID, которая используется при авторизации в Дия (как один из вариантов) как раз и рассчитана на удаленную аутентификацию пользователя. То, что мошенники по поддельным документам смогли пройти верификацию с помощью видеозвонка - вопрос к процессу верификации, а не к приложению Дия, которая опирается на BankID.

    То есть - это можно сделать абсолютно для всех: без разницы зарегистрирован человек в приложении или же нет.

    Для чего государству просить регистрацию пользователей, база которых у него уже есть? Государство должно знать своих граждан, остается вопрос лишь в авторизации/верификации. Приложение - лишь интерфейс для доступа к уже существующим реестрам, процесс регистрации пройден при вашем рождении или при передачи данных банкам.

    Процитируя его: «Мы получил аттестат соответствия качества, аттестат КСЗИ. Это высокий аттестат, который свидетельствует о том, что приложение "Дия" абсолютно безопасно»- заявил он в октябре прошлого года.

    ...

    Переведя цитату из него: «Сейчас Государственным предприятием "Дия" осуществляются мероприятия по построению комплексной системы защиты информации информационно-телекоммуникационной системы портала "Дия"»... то есть, система защиты еще выстраивается, - а сертификат уже получен?

    Приложение и портал - разные сервисы.

    Ведь после так называемого «баг-баунти», который длился аж одну неделю, где целых 4 участника нашли аж 6 уязвимостей (на всех) - сомнений в этом точно не остаётся.

    Так чего же вы не подали заявку и не нашли все критические уязвимости, коих по вашим заверениям, там просто уйма?

    27 июля должен был начаться второй этап баг баунти, открытый для всех.

    Почему авторизация выполняется только с помощью номера телефона?

    Не только. Авторизация происходит через BankID - пользователь должен иметь доступ в приложение банка (который работает с BankID, а соответственно, соответствуют требованиям для работы с технологией).

    Как гражданин страны, должен отметить, что продукты Минцифры - это пока лучшее, что я видел из сервисов государства. Идеальны ли? Нет. Но результат их работы невозможно не заметить.

    Чуть больше месяца назад я стал папой, уже успел опробовать одну очень полезную услугу под названием "єМалятко". Примерно за 1 час я заполнил форму для получения 9 различных услуг. В течении недели получил уведомления о регистрации ребенка во всех нужных реестрах и о готовности свидетельства о рождении. Еще год назад мне бы пришлось потратить несколько рабочих дней, обивая пороги целой кучи различных гос. структур (со всем спектром полагающихся эмоций при этом).


    1. itguildua Автор
      26.08.2021 13:31
      +1

      Истерик здесь нигде нет - есть факты. Прочтите пожалуйста ещё раз от начала и до конца внимательно.

      В первом случае - вопрос к проектировщикам приложения, которые выбрали для верификации документа столь уязвимый способ.

      Тех кто подал и нашёл - культурно так "послали"... А министр и вся его команда поблокировали везде, в ответ на комментарии.

      Замечательно, - пусть занимаются тем что у них получается: "еМалятко" это весьма положительный пример. Поздравляем, кстати, с пополнением в семье.
      Но при этом не лезут в то в чём не соображают - это я о "Дия" и цифровом колхозе "Дия-сити".


      1. vova4ka_ua
        26.08.2021 13:37
        +1

        У вас действительно истерика от одного слова "Дия".

        "В первом случае - вопрос к проектировщикам приложения, которые выбрали для верификации документа столь уязвимый способ." - как можно подтвердить пользователя по другому? написать кучу бумажек, и везти в гос.орган лично?
        верификация через банкоское приложение, вдумайтесь! То, что кто то может получить доступ к банковскому приложению не есть дырой в "Дия"


      1. Jokerzp
        26.08.2021 13:38

        В первом случае - вопрос к проектировщикам приложения, которые выбрали для верификации документа столь уязвимый способ.

        Прежде чем быть голословным, почитайте про саму технологию прежде - https://bankid.org.ua

        Тех кто подал и нашёл - культурно так "послали"... А министр и вся его команда поблокировали везде, в ответ на комментарии.

        Можно подробней, пожалуйста? Кого послали, при каких обстоятельствах? Если "послали", почему уязвимости в паблик не пошли? С удовольствием бы почитал хорошую техническую статью с подробностями.


        1. Layan
          26.08.2021 15:16

          У вас неправильная ссылка. BankID — это технология ПриватБанка/УБКИ. Сейчас используется другая, схожая по смыслу — BankID НБУ.
          По крайней мере НБУ, в требованиях к организациям требует всегда писать «BankID НБУ», так как технологии разные. В НБУ интеграции используется дополнительное шифрование при передаче данных.


    1. tangro
      26.08.2021 13:45
      +11

      Вы подчёркиваете удобство пользования услугами, но удобство, как правило, является противоположностью безопасности. Просто подумайте вот о чём: в каком-то далёком колл-центре банка под Жмеринкой сейчас сидит девочка (с зарплатой 200 баксов в месяц), у которой есть право подтвердить верификацию вашей личности при удалённой регистрации счёта в банке по копии паспорта. И вот дальше у мошенников появится ваше ЕЦП, с которым, мало того, что можно в банке всяких дел намутить, так ещё и можно залогиниться в главное, блин, приложение для коммуникации гражданина и государства. А там уже "удобство пользования" начнёт играть против Вас, ибо как вам было удобно воспользоваться "єМалятком", так кому-то будет удобно за Вас открыть ФОП, проголосовать, взять кредит, а может, например, развестить с женой или продать квартиру. Вот тогда "порадуетесь" удобству.

      Банки НЕ ДОЛЖНЫ быть источником верификации граждан. Это, блин, коммерческие структуры, ориентированные на зарабатывание денег. Их сотрудники присяги не давали, госслужащими не являются и ответственности за действия мошенников в Дие нести не будут. Архитектура Дии корява от начала до конца.


      1. Jokerzp
        26.08.2021 13:48

        Вы забываете, что банки очень жестко контролируются НБУ. Погуглите, сколько кругов ада нужно пройти для получения сертификации от НБУ и как легко ее потерять. И да, девочка из Жмеринки несет ответственность.


        1. tangro
          26.08.2021 13:53
          +9

          Да перестаньте. У нас даже нотариусы не несут никакой ответственности. Сколько было случаев непонятной смены собственников - и каждый раз нотариус заявлял что-то типа "меня взломали", "я потерял ключ", "я этого действия не выполнял". Одна как-то сказала "я была беременна и не осознавала своих действий". Никого не посадили, хотя уж в отношении нотариата прям отдельные законы есть, и отдельные статьи криминального кодекса. Девочка скажет "мне показалось, что всё правильно" - и ничего ей никто не предъявит.


          1. Jokerzp
            26.08.2021 14:01
            -6

            Считаю, что вы сгущаете краски. Согласно вашей логики, тогда делать ничего не нужно? Ради доступа в личный кабинет, нужно как в Ощадбанке, пойти написать письменное заявление исключительно в отделение, в котором выдавалась карта.


            1. Diamos
              26.08.2021 17:00
              +4

              По моему мнению, человек как раз транслирует реальность, а вы — розовый мир.

              банки очень жестко контролируются НБУ
              я вас прошу)) В Украине?? я в банкинге умудрился оформить и получить детскую карточку на чужого ребенка. После сканирования документов ребенка поступил звонок, где они просили предоставить документы, что я являюсь опекуном. Естественно, документов таких нет и процедура приостановилась. Через время приложение напомнило о возможности заказать доставку карты новой почтой и надпись «проверка не завершена» сменилась на что-то типа «получить карту по нп». Я из любопытства заказал карту. Позже я решил написать в тех.поддержку с подробным описанием уязвимости. И, о чудо! Через пол дня на выданной карте появилась плашка «Документы забракованы». Вот что НБУ реально контролирует — так это вопрос налогов и всего, что связано с отъёмом ваших денег.
              У меня есть еще пару свежих историй с беспределом банков, но не хочется омрачать ваше представление о реальности…

              P.S. Мое отрицательное к этому отношение не меняет положительных сторон идеи. Как говорится, идея — агонь, реализация — г.но.


            1. bgBrother
              27.08.2021 19:51
              +2

              Ознакомьтесь со случаем идентификации Joe Biden в петициях Украины. Каким образом выдуманный гражданин Украины прошёл идентификацию? Кто за это наказан? Никто?


            1. Diamos
              28.08.2021 00:23

              и да, на счет Ощадбанка враньё. Доступ личный кабинет по номеру телефона. Никаких письменных заявлений и похода в отделение.


      1. AlexandrDP
        26.08.2021 13:52

        А кто должен быть источником верификации граждан? ЦНАПы (там все наверное ответственность несут)? Или нужно еще орган создать?


        1. tangro
          26.08.2021 13:58
          +5

          Всё отлично работало с, например, налоговой, которая выдавал ЕЦП при физическом визите человека к ним, с паспортом и ИНН. Даже можно было дома у себя его сгенерить, а им только публичный ключ принести. Вот это, я понимаю, надёжность. А тут тебе удалённо по фотке паспорта и ЕЦП выдают, и счёт, и электронный пасспорт и вообще всё.


          1. vova4ka_ua
            26.08.2021 14:06

            По одному фото никто ничего не даст. Нужно в любом случае подтверждение через распознавание лица


            1. tangro
              26.08.2021 14:08
              +2

              Ну так вот же в статье описан случай, когда это без проблем обошли. Это же не теория, это уже случилось.


          1. AlexandrDP
            26.08.2021 14:11

            Т.е. налоговая гарантировала что не выдаст ключ левому человеку, а если что - будет нести ответственность?


            1. xpert13
              27.08.2021 10:00
              +1

              Вот кстати тоже про это подумал: там в банке девочка сидит за 200 дол. в месяц, а в налоговой пойди 1000 получают? Та же девочка с такой же зарплатой может сидеть и в налоговой. Так что хрен редьки не слаще.


              1. tangro
                27.08.2021 17:53

                Такая же, ага. Вот только физический визит в налоговую оставляет физический след. Ты проходишь мимо камер, охраны, предъявляешь бумажные документы, фоткаешься, пишешь от руки заявление и расписываешься ручкой по бумаге. Это всё потом может быть использовано следователем. А что использовать при онлайн-верификации? Скриншот с камеры, где в разрешении 320х240 крутится какая-то похожая (или не похожая?) голова мошенника? Шансов на успех расследования куда меньше.


              1. bgBrother
                27.08.2021 21:19

                Нужно улучшать текущие процессы, а не ухудшать новыми, ещё более небезопасными.


  1. AlexandrDP
    26.08.2021 13:19

    Дия упростила мошеничество или можно было это и без Дии организовать?


    1. itguildua Автор
      26.08.2021 13:22
      +6

      Добавила ещё один способ для мошенников. И это с учётом того что на её разработку и раскрутку было потрачено миллиарды бюджетных средств.


      1. AlexandrDP
        26.08.2021 13:27

        Именно дия, не банки (сторонние сервисы)?


        1. tangro
          26.08.2021 13:48
          +2

          Дия добавила вектор атаки. Раньше при доступе мошенников к счёту в банке вы рисковали только деньгами на этом счету. Теперь вы вообще чёрт его знает, чем рискуете, ибо Дия потенциально даёт доступ к любым гос.услугам, сделкам, документам и т.д. Я понимал, как действовать для защиты счёта в банке. И я нифига не понимаю, как теперь защититься от Дии.


          1. AlexandrDP
            26.08.2021 14:01
            -2

            письменность -> телеграф > телефон > интеренет > мобильный телефон добавили вектор атаки, можно бороться с ними или с мошенниками


            1. tangro
              26.08.2021 14:07
              +2

              Ну хоть мы пришли к согласию, что таки да, вектор атаки добавился.

              Вопрос в том, стоит ли овчинка выделки. Мы получили ещё одну возможность потерять очень многое ради экономии очень малого.


              1. AlexandrDP
                26.08.2021 14:33
                -3

                Конечно не стоит, жаль что проводной телефон не везде сейчас можно поставить, а по радио банки не хотят работать


          1. Alex_GDI
            26.08.2021 14:50

            Дия тут как раз не причем. Вы не думали, что любой УЦ мог выпустить на вас ЭЦП ещё до существования Дии и подписывать им договоры?

            А в Дии чтобы получить ЭЦП (Дия ID) вы должны войти в приложуху и пройти проверку по лицу, чтобы получить сертификат. Это второй фактор.

            В случае со статьей, мошенники переслали копии документов из Дии через шеринг документов. Подтверждение личности или подпись какого либо договора в данном случае не выполняется.


            1. tangro
              27.08.2021 17:56

              Дия тут как раз не причем...

              мошенники переслали копии документов из Дии через шеринг документов. Подтверждение личности или подпись какого либо договора в данном случае не выполняется.

              Как эти два предложения согласуются? Как Дия может быть не при чём, если через неё выполнялись определённые действия, ещё и не требующие подписи и подтверждения личности?


              1. Alex_GDI
                27.08.2021 18:12

                Мошенники могли отправить копии паспорта как до Дии так и сейчас. Передача копий через Дию не является подтверждением личности. Если МФО нарушает закон в части проведения идентификации, этим должен заниматься Национальный банк. Дия никак эту ситуацию не меняет.


                1. bgBrother
                  27.08.2021 21:31

                  Передача копий через Дию не является подтверждением личности
                  Министерство заявляет противоположное — шеринг документом является подтверждением личности (3-й абзац). И это при том, что злоумышленникам удалось зайти воспользоваться этим функционалом без участия владельца документов…


            1. bgBrother
              27.08.2021 21:24

              Вы не думали, что любой УЦ мог выпустить на вас ЭЦП ещё до существования Дии и подписывать им договоры?
              Какую юридическую силу это имело тогда, когда эл. подпись не была уравнена к физической? Какие действия можно было совершить? На данный момент Дия увеличила количество опираций, которые можно было совершить. В следствии этого риски мошенничества гораздо выше.

              вы должны войти в приложуху и пройти проверку по лицу, чтобы получить сертификат. Это второй фактор.
              Уже на каждом углу говорят, что эту проверку через специальные бесплатные приложения удалось пройти. Вы проверяли насколько это безопасно?

              В случае со статьей, мошенники переслали копии документов из Дии через шеринг документов.
              А каким образом они вообще вошли в Дию без участия человека? Почему это в принципе возможно?


              1. Alex_GDI
                27.08.2021 21:30

                А каким образом они вообще вошли в Дию без участия человека? Почему это в принципе возможно?

                Насколько известно из этой истории - был взломан банкинг, потом при помощи авторизации через BankID злоумышленники попали в Дию и передали копии документов.

                Какую юридическую силу это имело тогда, когда эл. подпись не была уравнена к физической? Какие действия можно было совершить? На данный момент Дия увеличила количество опираций, которые можно было совершить. В следствии этого риски мошенничества гораздо выше.

                ЭЦП была уравнена к физической задолго до Дии. ЭЦП могли похитить или выпустить в ненадёжном УЦ и всё было бы точно так же. МФО выдали кредит без подписи. Это на их совести.


                1. bgBrother
                  27.08.2021 21:44

                  был взломан банкинг, потом при помощи авторизации через BankID злоумышленники попали в Дию
                  Так вот и спрашивается — почему идентификация личности завязана на ненадежные механизмы банков и ещё более ненадёжные СМС? О «ненадёжных механизмах» заявлял сам министр, но при этом не решил исключить этот способ аутентификации. Я могу долго и упорно рассуждать о механизмах безопасности, которые предлагались разными людьми, но все они были проигнорированы.

                  ЭЦП была уравнена к физической задолго до Дии
                  Каким законом утверждается, что ЭЦП сравнима с физической подписью и подтверждает личность? ЭЦП применялась исключительно в некотором списке операций. Теперь эл. паспорт (внутри ЭЦП) сравнили с физическим.

                  Напоминаю — предоставлялся доступ только к некоторым услугам. Теперь их список сильно расширен. К примеру, как недавно передали, разрабатывается услуга онлайн-нотариусов. Многих ужасает, что через взлом банка по СМС можно будет и любую услугу у нотариуса совершить.

                  Опять же, вместо добавления новых векторов атаки следует улучшать текущие механизмы. Не добавлять, а улучшать.


  1. irbis_al
    26.08.2021 13:47
    -2

    Ну ведь всегда когда развивается проект есть какие-то побочные неприятные эффекты..Дорогу должен осилить идущий...Дия это реально классный сложный проект...

    Тут же на Хабре была статья как в России через ЭЦП-КЭП мошенничество с недвижимостью было.И тут же запретили такие операции (в Росии вообще во всех непотнятный ситуациях тут же запрещают, что бы то ни было).

    Не бойтесь учтут те проблемы ДИЯ и без запретов поднимут качество приложения и услуг.

    Почему Вы например не поднимаете эту тему на DOU Украинском ИТ-портале?

    https://dou.ua


    1. itguildua Автор
      26.08.2021 14:09
      +3

      1. irbis_al
        26.08.2021 14:16
        -2

        Но там навскидку(прочтнеие по диагонали) совершенно другая статья.Тут Вы даже обезьяну с гранатой приципили в картинку.(что на мой взгляд довольно оскарбительно)

        Реально Украина ...да с ошибками с проблемами идет вперед...тот же Прогамный РРО какой шаг вперед.(В Росии 4-6 дармоедов предпринимателю надо кормить чтоб чек из аппарата до налоговой дошел .....про ПРРО им и не снилось)


        1. Nomad1
          26.08.2021 14:46
          +1

          Я бы предпочел, чтобы вопросы идентификации меня как гражданина не сопровождались "ошибками и проблемами" за мой счет и с живым тестом на людях, которые получают потом кредиты или тюремное заключение. Система должна быть протестирована на самом высоком уровне, а не так как вышли на днях цифровые сертификаты COVID, где в поле surname попадает имя, а в forename фамилия.


          1. irbis_al
            26.08.2021 14:58
            -1

            Лично у Вас проблемы с ДИей Были?

            У Меня и у круга моих знакомых не было.Фамилию с именем перепутал оператор в сертификате COVID. что вы от программы хотите-то? Чтоб она имя проверяла по справочнику имен?

            А насчет кредитов и тюремных заключений...То нужно достойное оппонирование этим фактам.

            Эту статью надо на DOU ,-Возможно там найдуться эксперты,что скажут,что это было не так или не совсем так и история ещё не закончена и имеет(будет иметь совсем другой конец)


            1. Nomad1
              26.08.2021 15:06

              >> Лично у Вас проблемы с ДИей Были?

              Не было, но это не является аргументом. Вероятность проблем в 0.01% скорее всего не затронет никого из вашего круга знакомств, но будут 40000 счастливчиков в стране, которых затронет. Точно такие же были разговоры про COVID.

              >> Фамилию с именем перепутал оператор в сертификате COVID. что вы от программы хотите-то? Чтоб она имя проверяла по справочнику имен?

              Хочу, чтобы нажав в программе "получить сертификат" я его получал на свое имя. Вроде как не много от сертифицированного продукта, сделанного за мои деньги, как налогоплательщика.

              >> А насчет кредитов и тюремных заключений...То нужно достойное оппонирование этим фактам.

              Нужно чтобы их не было. Вообще не было, а если вдруг баг после месяцев тестирования пролез в продакшн, то чтобы это разработчики и должностные лица признавали и исправляли, включая компенсации пострадавшим. Пока что мы слышим очень странные (напала "звездная болезнь"?) отписки от архитектора системы и странные комментарии от сочувствующих анонимусов, которые наверное тоже из команды разработки.


            1. Arioch
              26.08.2021 20:30

              Фамилию с именем перепутал оператор в сертификате COVID. что вы от программы хотите-то? Чтоб она имя проверяла по справочнику имен?

              Если Дия - это электронный паспорт, то она и так знает ваше/моё имя.

              В таком случае паспорт (программа) должен:

              1. выдавать сертификат на ваше имя, а не на имя Васи Пупкина вбитого неизвестным оператором в какую-то там БД

              2. в случае расхождения имени реального (заведомо, повторяю, известного паспорту) и в сертификате фиксировать ненормальную ситуацию и инициировать процедуру исправления данных.


            1. bgBrother
              27.08.2021 21:52
              +1

              Лично у Вас проблемы с ДИей Были? У Меня и у круга моих знакомых не было.
              Хотите сказать, что если лично вас автобус не переехал, то проблемы аварий нет? Указывали на аргументированные проблемы. Этого достаточно.


          1. unsignedchar
            26.08.2021 15:04
            -1

            Система должна быть протестирована на самом высоком уровне, а не так


            Нужно делать хорошо, а плохо делать не нужно!
            ЗЫ: с неправомерным получением ковидосубсидии — реальный трешъ. Но дижитализация тут нипричём, разве что в обвинении появилась фраза про использование компьютерных средств. Он точно так же мог написать заяву на получение субсидии на бумаге.


            1. Nomad1
              26.08.2021 15:18

              Пофантазирую: люди этого возраста считают, что на бумаге это серьезно и нарушение, а вот в этих тырпырнетах раз нажал на кнопочку и оно разрешило, то значит все в порядке. Деталей, конечно же не знаю, может там принципиальный нарушитель порядка был на самом деле.


              1. unsignedchar
                26.08.2021 15:43

                Нарушение в том, что он получил деньги. Субсидия, как я понимаю, только для потерявших работу. Жаль, что не привлекли сообщника чиновника, одобрившего получение субсидии без проверки.


              1. Arioch
                26.08.2021 20:52

                а деньги он на руки получал серьёзные или тырпырнетные?..


            1. bgBrother
              27.08.2021 21:57
              +1

              Нужно делать хорошо, а плохо делать не нужно!
              Вы считаете нормальным, что а) приложение не проходит сертификацию; б) министерство не предоставляет информацию о прохождении сертификации; в) упускаются из вида уязвимости; г) не рассматривается вопрос нац. безопасности критических операций страны?


  1. Bringoff
    26.08.2021 17:11

    в «Дия» присутствует возможность одновременного входа с нескольких устройств. При входе с нового - логин-сессия на предыдущих НЕ прерывается.

    Подпись хранится только на одном устройстве, и при попытке подписать какой-то документ на новом устройстве она создаётся заново.


    1. bgBrother
      27.08.2021 22:03

      Каким образом это защищает от операций, незаметных для владельца личности? Один из исследователей рассматривал этот случай и выяснил, что зайти без ведома владельца возможно — использованы различные ухищрения — : а) определение доступности СИМ-карты через услуги провайдеров; б) определённый момент занятости человека; в) глушилка связи; г) и другое.

      Важно рассматривать и те случаи, когда у владельца Дия ранее установлена не была.


      1. Bringoff
        28.08.2021 10:28

        Какой исследователь и где?

        Ну и даже если допустить, что кто-то войдет на новом устройстве, для создания новой подписи на этом устройстве нужно подтверждение личности.


        1. bgBrother
          28.08.2021 11:58

          Какой исследователь и где?
          Один из организаторов ГО «Украинский Кибер Альянс» на своем канале. Это подтверждают и другие лица.

          для создания новой подписи на этом устройстве нужно подтверждение личности
          Вы упускаете ряд моментов. К примеру, этот. Дополню, что есть понятие «моделирование». Мы живём в мире с как минимум тремя x,y,z. Как считаете, у вас приемлемые навыки поиска информации, к примеру, в сторах?


          1. Bringoff
            28.08.2021 12:28

            Один из организаторов ГО «Украинский Кибер Альянс» на своем канале. Это подтверждают и другие лица.

            Вы упускаете ряд моментов. К примеру, этот

            ранее исследователем заявлялось, что механизм недостаточно надежен и его обходит бесплатное приложение, работающие с фотографией человека

            "на своем канале", "подтверждают", "заявлялось". Но где доказательства, Билли? :) Хотелось бы увидеть ссылки на эти исследования и высказывания, а не только ваш пересказ.

            Особенно интересует это заявление

            для тестировщиков безопасности было опубликовано приложение с другими методами верификации

            Как считаете, у вас приемлемые навыки поиска информации, к примеру, в сторах?

            Не понял вообще связь вопроса с нашим разговором, и какие вторы имеются в виду. Но в целом, давайте считать, что приемлемые.


            1. bgBrother
              28.08.2021 20:20

              Хотелось бы увидеть ссылки на эти исследования и высказывания, а не только ваш пересказ.
              Для этого сначала отмените несколько статей криминального кодекса, пожалуйста.

              для тестировщиков безопасности было опубликовано приложение с другими методами верификации
              Речь о версии приложения из BugBounty.

              Не понял вообще связь вопроса с нашим разговором
              У вас есть все возможности проверить то, что я сказал. Достаточно поискать в сторе.


  1. rastych
    26.08.2021 17:46
    +1

    Но ведь даже если мошенническим способом обманув банк авторизоваться через BankID в Дие на новом телефоне, то ЭЦП там не будет и на этом вектор атаки обламывается.

    А получить кредит на чужое имя по ксерокопии паспорта - история стара как мир, относится к мутным кредитным организациям и коррумпированным сотрудникам банков, такое было до Дии, есть и будет, для этого и Дия не нужна.


    1. bgBrother
      27.08.2021 22:10

      ЭЦП там не будет и на этом вектор атаки обламывается
      Дия сама может выпускать ЭЦП для пользователя.


      1. rastych
        28.08.2021 08:04

        Может, но злоумышленник верификацию не пройдет и никакого ЭЦП не получит. Да там и легального владельца с трудом узнает эта их распознавалка лица.


        1. bgBrother
          28.08.2021 09:31
          +1

          злоумышленник верификацию не пройдет и никакого ЭЦП не получит
          К вашему сведению, ранее исследователем заявлялось, что механизм недостаточно надежен и его обходит бесплатное приложение, работающие с фотографией человека. Чтобы скрыть это, для тестировщиков безопасности было опубликовано приложение с другими методами верификации. Для всех остальных — ничего не изменилось.


  1. robert_ayrapetyan
    26.08.2021 18:14
    +2

    А меня Дия развела. Отсканировал номер на паспорте, приложился к nfc, крутил головой перед камерой - в итоге ошибка и все заново. Так что если у вас нет банк. акка - не ведитесь, тупо сбор персональных данных непонятно кем.


    1. lorc
      27.08.2021 15:04

      Да, она периодически глючит, но вообще нам удавалось залогиниться через NFC.


  1. artemzechev
    27.08.2021 13:00
    -1

    А в чём, собственно, дыра? Кредит взяли не через Дию. Залогинились в неё — это да. Но проблема не в этом изначально. Пуш есть. Но там говорят, что приложения не было у человека. А 2FA куда слать? Оно через банк так-то проходит.


  1. sza
    27.08.2021 13:02
    +1

    Ненавижу таких псевдо-айти-патриотов, которые дискредитируют всю идею на основании собственных выдумок. Благодаря таким как Вы, до сих пор любая бумажка занимает недели и месяцы в Украине и обвешана "решалами" и бытовой корупцией "за срочность" и прочее.

    Есть отлиная идея и её нужно всем сообществом внедрять. Государству в этом - помогать. А ты иди вон получи справку о составе семьи легальным образом сходи - тебя быстро попустит.

    Сливы идут не из дии, а из всех предприятий предоставляющих сервисы. Дия позволит хотя бы молодым людям отслеживать чтобы их данные никем более не использовались. Этот проект не для 2021 года. Он для этого века - начало решения о безбумажной идентификации.

    Но вы так конечно похороните его в Украине - там достаточно совковых бабушек чтобы воспринимать ваши статьи всерьёз. В итоге такая вещь появится на западе и за океаном, а вы будете собирать ворохи бумаг и стоять в месячных очередях и оплачивать решалам бессмысленные справочки.


    1. Nomad1
      27.08.2021 13:18
      +2

      Сделайте хорошо и мы будем только рады! Не закрывайте bug bounty программу и люди будут постоянно сообщать о проблемах. Признавайте свои ошибки и выкладывайте документацию по API на github - им станут пользоваться и другие разработчики и сообщать если что-то не так.

      Но сейчас же реально ситуация удручающая - разработчики считают себя мушкетерами, между собой багрепортеров называют сопляками и ***сосами, а в ответ на обоснованную критику (перепутаны поля в API, = сертификат вакцинации недействителен) придумывают сказки про "оператор неправильно вбил". Ну а то, что творится в этом топике с волной защитников с 0 постами это вообще за гранью, ведь IT специалисты должны в первую очередь думать о безопасности. Представьте себе, что эти люди делают самолет и не особо задумываются о мелочах, вроде проваливания людей в сортир, ведь "самолет и дальше летит нормально". Но мы все уже в этом самолете и выбора нет, как не было у женщины с кредитом!


      1. sza
        27.08.2021 14:35
        -1

        Сорян конечно, что у меня тут ноль постов. Но вы сути не понимаете - есть технический дискурс и конкретные "испольнители". А есть тренд и репутация. Это не первый пост на эту тему раздумают по интернетам.

        Репутация всей идеи катится к нулю. Бабушки Петровна и Илинишна уже под подъездом обсуждают как их обкрадёт зеленский тем что у него их паспорта в компьютере. Этого добились, это пожалуйста. Ведь примеры приведённые в статье притянуты за уши или как раз указывают на то что процесс дёт в нужное русло. Покажите мне программу и ли проект которые были успешны с первого релиза? И нотариусы и приличные банки научатся считывать рфид. А неприличные лишатся лицензий по результатам комиссий и решений суда. Апи поправят, а пенсии петровны и илинишны никто просто так №из телефона" не украдет, пока они сами мошенникам из тюрьмы не продиктуют свои данные


        1. Nomad1
          27.08.2021 14:53
          +1

          Илинишны и Петровны и не узнают о ситуации, если разработчики будут принимать баг репорты сами, а не через пинок в новостных ресурсах другой страны (!!). Мой коллега, не профильный тестер, но периодически находит проблемы и пытается их репортить, на что получает негативный фидбек или его отсутствие. Вопрос решается только через инсайдеров, которые форвардят это разработчикам, в процессе выслушивая про всяких там советчиков. Я бы сказал, что репутация для IT сообщества уже под вопросом, а если не заручиться его поддержкой, то выходит, что и делается все для пенсионеров, а не прогрессивной молодежи. Погуглите про переписку с архитектором системы на тему opt-in и opt-out. * Ну и в любом случае, сохранять репутацию методом умалчивания проблем или вообще цензуры это, кхм, тоже странно.

          При чем, тренд мне откровенно нравится. Но процесс не идет в нужное русло, потому как вместо коммуникации происходит мискоммуникация, а заодно виден сомнительный QA. Начальство сказало запилить сертификаты вакцинации к дню независимости? Окей, пилим как-попало, лишь бы успеть.

          >> Покажите мне программу и ли проект которые были успешны с первого релиза

          Наверное, вы хотели сказать "корректно работали", а не "успешны"? Успешность для государственного продукта не измеряется. Примеров же весьма много, например, банковские приложения проходят тотальную проверку и несколько уровней тестирования, софт для самолетов и автомобилей, медицинских аппаратов. Я не помню случаев, чтобы у HBSC или Citibank кто-то мог авторизоваться в приложении после его удаления. Делайте, делайте хорошо, слушайте свою ЦА, тестируйте - тогда будет вам и репутация.

          *первые статьи показывают тексты для петровн, eb**e.it тоже не очень информативно, но вы уж постарайтесь, эта информация есть очень показательна.


    1. Nick0las
      27.08.2021 15:20
      +3

      Вы мешаете все в кучу.

      1. Внедрение цифровых технологий по идее должно уменьшить количество справок до ~0 просто потому что любой чиновник сможет сам запросить данные на вас при наличии обращения от вас автоматически. Бумажная система сообщений когда сам проситель носит сообщения от разных гос органов друг другу ногами просто отомрет.

      2. Получение де факто удаленного доступа к государственным сервисам это очень серьезная вещь. И многих в том числе и меня не радует что это можно сделать с помощю ключей полученных на мое имя в каком-то банке. В идеале хочется чтобы была государственная система аутентификации например по лицу и первая регистрация в ней - только при личном присутствии с документами. А тут опять сдедали дыру в безопасности ради простоты регистрации в системе.

      3. При нынешнем уровне безопасности системы вообще хотелось бы сходить и написать бумажное заявление чтобы возможность регистрации в этой дие и действий через нее для меня отключили и не включали пока не напишу заявление о включении. Не знаю, возможно ли.


      1. Nomad1
        27.08.2021 16:17
        +1

        При нынешнем уровне безопасности системы вообще хотелось бы сходить и написать бумажное заявление чтобы возможность регистрации в этой дие и действий через нее для меня отключили и не включали пока не напишу заявление о включении. Не знаю, возможно ли.

        Не возможно. Вы уже там, они получили доступ ко всем гражданам страны и внесли их в систему. Для отказа должна быть реализована система opt-out, вот что на счет нее сказал архитектор Дии:


        1. Nick0las
          27.08.2021 16:33

          Проблема не в том что мои данные в базе а в том что потенциально кто угодно через уязвимость может начать действовать от моего имени через приложение. И хороо бы чтобы каждый мог деактивировать приложение и активировав сходив ногами в центр обслуживания населения с пасспортом.


          1. Nomad1
            27.08.2021 16:37

            Ну вот в цитате было сказано, что архитектор против этого. Надеюсь, что огласка повлияет на его мнение. А потом, через годик-другой, после адекватного аудита и багфикса, можно подумать о том, чтобы пользоваться или вообще перейти с бумажных документов на электронные. Но не в принудительном порядке на сырую версию без возможности отписки.


    1. Diamos
      27.08.2021 16:52
      +1

      Ненавижу таких псевдо-айти-патриотов, которые дискредитируют всю идею на основании собственных выдумок.
      Ненавижу таких комментаторов, которые намеренно перекручивают суть сказанного. Благодаря таким как вы дискредитируется сама возможность конструктивной критики действий правительства.

      Автор статьи не идею дискредитировал, а реализацию этой идеи. Сама идея замечательная, но к безответственной реализации такой серьезной вещи большие вопросы.

      Такая же история с частными судебными исполнителями (закон был принят, емнип в 2016м). Идея отличная, основанная на мировой практике и призвана уменьшить коррупцию. А что в итоге? Исполнителям полностью развязаны руки для беспредела, чем некоторые из них и занимаются в сговоре с микрофинансовыми организациями, при этом реальной ответственности ноль. Они могут по запросу любой микрофинансвой организации заблокировать все счета человека. И если человек обратился в суд и через суд доказал (в лучшем случае через пол года), что у него нет долгов, суд обязывает банки разблокировать счета. Но микрофинансовой организации не составляет никакого труда сменить исполнителя и заблокировать счета повторно и так до бесконечности. Законодательство просто никак не регулирует этот вопрос. Собственно, этот пример основан на реальных событиях моей сотрудницы, которая уже 2 года судится. Мы снова приходим к тому, что хорошая идея может быть испоганена правительством. А боязнь критиковать правительство приведет к еще бОльшим последствиям.


  1. sergey_prokofiev
    27.08.2021 13:56

    Натянули сову на глобус. Уже сегодня десятки различныз приложений хранят и обрабатывают личные данные. Базы регулярно сливают. Кредиыт по ксероксу паспорта выдают левым людям в промышленном масштабе.

    Ну все проблемы в дие, да. Аж целый один(!) подтвержденнный случай мошенничества.


    1. bgBrother
      27.08.2021 22:26
      +1

      Натянули сову на глобус. Уже сегодня десятки различныз приложений хранят и обрабатывают личные данные. Базы регулярно сливают. Кредиыт по ксероксу паспорта выдают левым людям в промышленном масштабе.
      Считаете, что должно быть ещё одно место, через которое это делают? До сих пор кредит с человека не снят.

      Ну все проблемы в дие, да
      Это дополнительная проблема, да.

      Аж целый один(!) подтвержденнный случай мошенничества.
      Обращений по этому поводу больше, чем одно. Среди журналистов были цифры более чем в 50 тыс. случаев. Именно этот случай привлёк внимание из-за того, что его многократно публиковали. Если бы не публикации, то и этот кредит до сих пор не выясняли бы. Более того, кредит не снят, ситуация не решена.


      1. sergey_prokofiev
        06.09.2021 13:40

        Считаете, что должно быть ещё одно место, через которое это делают? До сих пор кредит с человека не снят.

        Считаю что масштабы проблемы преувеличены. По сути дела из единичной мухи раздули популяцию слонов всей планеты.

        Среди журналистов были цифры более чем в 50 тыс. случаев.

        Дада, но они все такие секретные, что никто никому ничего не скажет. Странно только что ограничились 50 тыщ, а не 500 млн.


  1. ARfan
    27.08.2021 15:12

    Пункт 1. Никогда и никому не отправлять скан своего паспорта. Максимум - паспортные данные.

    Пункт 2. Какие проблемы сделать получение ЕЦП через 2-факторную верификацию? И вообще все подобные операции (включая вход с другого устройства) проверять через привязанный мобильный номер?


    1. itguildua Автор
      27.08.2021 15:13
      +2

      Проблема такая - подобной возможности в приложении "Дия" нет.


    1. bgBrother
      27.08.2021 22:32

      И вообще все подобные операции (включая вход с другого устройства) проверять через привязанный мобильный номер?
      Проверка через мобильные номера не является безопасной. За последние несколько лет было более двух десятков публичных случаев угона СМС без угона мобильного номера.


  1. mrlika
    27.08.2021 15:13

    "Дія" как и любой другой онлаин сервис не совершенен. Совершенность это бесконечное количество времени разработчиков, которое стоит бесконечное количество денег. По этому за совершенный код моей команды никто платить не хочет. Мы пишем заведомо несовершенный код, который принесет бизнесу успех в критериях скорости, стоимости и качества. "Дія" меня полностью устраивает. И подозреваю что есть 600+ человек из вашей IT-гильдии, которые машут кулачком и пальчиком, как на видео, притендуя на роль Министра Цифровой Трансформации.

    Есть Monobank. Отделений у него нет. Прошел верификацию онлайн. Теперь и через него есть BankID. Могу зайти в "Дія".Внимание вопрос: зачем мне заходить через BankID в "Дія" если мне сразу выдали кредитную карту с 30000 грн. лимитом? Я смог этот лимит обналичивать (комисия 4%) и делать с него покупки (без комисии).Ответ: Monobank может потерять штуку баксов если выдаст BankID левому человеку.

    Я не против возмещать кредиты и другие оплошности "Дія" как налогоплательщик 40-милионной страны в обмен на удобство. Так как и не против интернета, сотовой связи с симками, интернета через спутники, криптовалют, ИИ, ракет Земля-Луна-Марс и других инноваций, которые добавляют в нашу жизнь массу удобства и немного, решаемых по мене возникновения, проблем с безопасностью.


    1. itguildua Автор
      27.08.2021 15:14

      Ваше право, конечно, но чем это в итоге обернётся - большущий вопрос.
      Нас глупо упрекать в сопротивлении инновациям - мы всё же объединяем ИТ-специалистов своей страны.
      Главное, чтобы это было профессионально и качественно, - а не с подходом профанов.


    1. unsignedchar
      27.08.2021 15:42
      +1

      Я не против возмещать кредиты и другие оплошности «Дія»


      Я — категорически против. Но тут проблема не в приложении, а в ростовщиках, раздающих кредиты без верификации.

      Есть Monobank. Отделений у него нет. Прошел верификацию онлайн. Теперь и через него есть BankID. Могу зайти в «Дія».Внимание вопрос: зачем мне заходить через BankID в «Дія» если мне сразу выдали кредитную карту с 30000 грн. лимитом?


      Можно пройти верификацию с ксерокопией паспорта (в статье утверждают что можно).
      Можно оформить ковидосубсидию (и подвести хозяина паспорта под уголовное дело).
      Можно оформить цифровую подпись и продать квартиру.


      1. mrlika
        27.08.2021 16:16
        -1

        Онлайн-сервисы результат эволюции Интернета. Они упростили мошенничество и наплодили уязвимостей во многих, если не во всех сферах. Давайте зрить в корень и закроем Интернет, запретим мобильную связь, собьём спутники Маска. За одно защитим детей от призывов к самоубийству и усложним распространение детской порнографии. Одни плюсы...


      1. mrlika
        27.08.2021 16:34
        -1

        Интернет сделал возможным очень много разных опасных "можно", и ваш список не полон. Но человечество с этим как-то живет. Правда некоторые страны начали банить Интернет. Надеюсь, что из-за таких, как вы этого не случится у нас в том же масштабе.

        Не буду озвучивать свой часовой рейт, дабы не травмировать вас суммами, которые я теряю, стоя в очередях в рабочее время за бумажками. Так что я тоже категорически, но ЗА.


        1. unsignedchar
          27.08.2021 17:24
          +1

          Не буду озвучивать свой часовой рейт, дабы не травмировать вас суммами, которые я теряю, стоя в очередях в рабочее время за бумажками.


          Почему бы не послать слугу? Обеспеченный господин не может отправить слугу? :D

          Так что я тоже категорически, но ЗА.


          Любопытно бы узнать, за что именно. Потому что повесить чужой долг на обеспеченного человека это куда интереснее, чем на пенсионера.


          1. mrlika
            27.08.2021 19:08

            Да я бы рад, но слуге надо сделать пластику лица, что-бы максимально был похож на меня, научить подписываться так же, как и я, выдать оригиналы документов.

            Но такой слуга еще более небезопасен чем Дія.

            ЗА борьбу с корупцией, бюрократией.


            1. unsignedchar
              27.08.2021 20:50

              ЗА борьбу с корупцией, бюрократией

              Я тоже за все хорошее и против всего плохого. Пока что - всё только хорошее. Онлайн сервисы, удобно, да. И ломать там пока нечего. А когда туда завезут цифровую подпись, с помощью которой можно продать квартиру или машину, например?


            1. ilammy
              28.08.2021 06:11
              +1

              Такой богатый, а не знаете про доверенности.


              1. mrlika
                30.08.2021 18:53

                Не приписывайте мне то, что я не говорил. О моих знаниях вы тоже понятия не имеете. Расказывать вам, что оформлять что-то у нотариусов тоже занимает время, и приводить другие аргументы нелепости вашего высказывания принципиально не буду...


    1. tangro
      27.08.2021 18:29

      Ответ: Monobank может потерять штуку баксов если выдаст BankID левому человеку.

      Вот именно. В случае монобанка ущерб очень понятен и ограничен, вот этой штукой баксов. Даже если каким-то способом мошенники выпустят эту карту на меня, и Монобанк доколебётся до меня - я рискую всё той же штукой баксов. А теперь вопрос - чем я рискую, если Монобанк залогинит меня в Дию и даст возможность от моего имени взаимодействовать с государством? А чёрт его знает чем. Это плохо.


      1. mrlika
        27.08.2021 19:26
        -1

        Взломать или обойти безопасность можно любого онлаин сервиса. Задача сервиса сделать это нерентабельным и рисковым занятием. Лучший способ для Дія и государства решить все проблемы это по-раньше выйти в продакшин. Именно так многие успешные продукты обходят конкурентов, которые тратят уйму денег и времени делая "идеальный" продукт, который к моменту релиза уже потерял рынок.


        1. Nomad1
          28.08.2021 10:58
          +1

          Я, к сожалению, не совсем уверен в конкуренции и рынке в этом контексте. Конкурент Дии - бумажный паспорт и очередь за талончиком "на только спросить"? Тогда приложение по всем параметрам впереди. Ну и если будет баг в вашем рыночном приложении, то пользователи могут уйти к другому. В нашем случае пользователи могут уйти лишь назад к бумажной бюрократии или в тюрьму, если баг серьезный.


        1. unsignedchar
          28.08.2021 15:19
          +2

          Лучший способ для Дія и государства решить все проблемы это по-раньше выйти в продакшин

          Кого нужно опередить любой ценой?

          Именно так многие успешные продукты обходят конкурентов

          Какие конкуренты имеются в виду?


          1. mrlika
            30.08.2021 16:34

            Не буду отвечать на эти очевидные вопросы. В правительствах государств мировых лидеров они не возникают. Видимо для вас Украина должна оставаться серой посредственностью и плестись в конце говоря "какие конкуренты", "кого опередить"

            ("любой ценой" это ваша фраза. Некрасиво формулировать предложения, приписывая то, что не говорили)


            1. unsignedchar
              02.09.2021 09:37

              Не буду отвечать на эти очевидные вопросы. В правительствах государств мировых лидеров они не возникают.

              Я не знаю, что за вопросы возникают в правительствах мировых лидеров, правда. Но на простой вопрос (без троллинга) ожидается получить простой ответ (без демагогии).

              Видимо для вас Украина должна оставаться серой посредственностью

              Это ваши слова. Я ничего подобного не говорил.