Comments 130
"Кредит через «Дию»" "И в марте-месяце случается внезапно такой «сюрприз»: мошенники находят фотокопии паспорта, ИНН в высоком разрешении, меняют в нем фото и помещают на нечто похожее на настоящую обложку " - так а при чем тут "Дия"? если в банке можно открыть счет по сканкопиям, виновата тут "Дия"? Вход в "Дию" по ключу, тут все ок, в самой "Дие" никаких сканкопий паспорта нету. Какие то необоснованные придирки.
А идентификация везде по "Дия" это очень круто работает. Пока не везде, но работает. Я думал тут будет разбор вытока данных из "Дии", а тут разбор утечки персональных данных "откуда то"
То есть факт того что в "Дию" можно зайти через банк, когда менее доверенный источник подтверждает более доверенный, а не наоборот - Вы считаете нормальным?
Вопрос - при чем тут "Дия" к кредиту, если открыв счет в банке, уже можно набрать кредитов без "Дии"?
Ответ: для кредита требуется ещё одна верификация удостоверения личности, которое можно мошенническим способом оформить в приложении "Дия". А с недавних пор оно приравнено к полноценным документам, со всеми вытекающими.
Приложение - это замена паспорта. Нельзя просто взять и получить кредит на чужой паспорт.
Ребят, я лично плохо отношусь к Дие, но относительно Вашего текста могу только констатировать натягивание совы на глобус. Да, нельзя сказать, что все хорошо, но ругать вот именно за это Дию, это мягко говоря не очень.
Дия к кредиту вот именно что должна быть не при чём. Она должна иметь собственные, не зависимые от банка механизмы верификации пользователей. И, если банк, выдавший ЕЦП, просит Дию подтвердить подлинность человека, то Дия НЕ ДОЛЖНА подтверждать эту подлинность на основании ЕЦП этого самого банка. Бред какой-то получается. Идиоты писали это всё.
Бред у вас получается. Для чего тогда ЕЦП, если его нельзя использовать для подтверждение личности?
Во-первых, мне бы хотелось, чтобы ЕЦП, выданное банком, удостоверяло мою личность для этого банка, а не вообще для всех в мире. Почему государство должно верить банку?
Во-вторых, мне бы не хотелось, чтобы ЕЦП выдавалось удалённо. Да, я знаю, "карантин", "жижитализация", вот это всё. Нет. Я хочу физический визит, с бумажными документами, к живому человеку. Чтоб подпись на бланке, ксерокопия пасспорта, фотку на камеру. Это всё оставляет след, которые в последствии может быть приложен к расследованию. А вот этот "удалённый ЕЦП" можно только к унитазу приложить, с внутренней стороны.
На самом деле у банка информации о вас больше, чем у государства.
вот только президжента и парламент банка вы не выбираете, даже теоретически, так что банк вам ничем не обязан
Давайте немного усложним схему, тем более возможно так и было, выше нигде не говорилось, что банк был всего лишь один.
Банк А создаёт злоумышленнику фальшивый паспорт ("Дию" на умытого бомжа на ваше имя)
Банк Б выдаёт по нему кредит злоумышленнику на ваше имя.
Банк В, Магазин Г, туристическая компания Д,.....
К кому претензии предъявлять? Банк Б все сделал по закону. Банк А с вами ни в каких отношениях не состоит и ничего вам не обязан.
Информации больше, а мотивации её использовать для моей защите в сторонних сервисах (которым является Дия) - меньше. Я банку налоги не плачу, за руководство его на выборах не голосую и за госуслугами к нему не обращаюсь. С чего бы ему переживать за мою безопасность в Дие?
Это вообще катастрофа, дело в том что любой чих с банком по действию сложнее оплаты квитанции или покупки валюты требует кучу ваших данных. Следовательно у вас будет банковский аккаунт даже если вы просто покупали в магазине бытовой техники комплект для оборудования кухни в кредит. Как это все хранится и как попадет в третьи руки - это целая история. Также банковские работники создают далеким от ПК клиентам банковские аккаунты сами, давая логин и пароль на бумаге, пароли стандартные, чессность банковского сотрудника - тоже русская рулетка.
Ну и вишенка на торте - иногда банк может дать удаленную регистрацию просто введя отфонарный, но действительный мобильный номер и ИНН этого человека. Есть банковский аккаунт - есть ДИЯ.
Всю суть жижитализации прочувствовал, когда пришел в пенсионный фонд с ID картой(на которой сзади черными цифрами по желто-синему написан ИНН) а меня послали за отдельной бумажной справкой о присвоении ИНН потому что "так нада".
Так виновата дия? "жижитализация"? пенсионный?
Виновата жижитализация, а вернее люди, которые её криво внедряют. Из-за криво внедрённой ID карты к ней всё равно нужно в довесок везде таскать "выписку из реестра" aka прописка.
Виноват пенсионный, которому зачем то нужно ИНН(вернее РНОКПП) отдельной бумажкой, хотя он есть на ID карте.
Т.е. виновата Дия/ИД-карта, потому что ИНН требуют в пенсионном?
вам сложно воспринимать текст длиннее одной строки?
Вы не понимаете как работают государственные органы?
А почему вы отвечаете вопросом на вопрос? Вы таки еврей?
что из этого вас больше беспокоит?
А кто вам сказал, что меня это беспокоит?
Виноват пенсионный, которому зачем то нужно ИНН(вернее РНОКПП) отдельной бумажкой, хотя он есть на ID карте.
Это нормально во время переходного этапа. Пока все тугие бюрократические организации подтянутся - это займёт немало времени. Но мы уже идём по этому пути и постепенно все такие недостатки отомрут.
ID карты ввели в октябре 2016-го, история из пенсионного фонда - декабрь 2020-го. Я бы понял год, может два. Прошло уже четыре года. Но циферки на задней части карты всё ещё видимо не такие, как цифры на куске бумаги из налоговой
В каждой долбаном месте где нужна карта - нужен и кусок мятой бумаги, на котором написано за каким барином я закрёплён. Последнее время вроде пришла "жижитализация" - теперь дают не кусок бумаги, а присылают то же pdf-кой с QR-кодом на телефон. В банках и налоговой вроде прокатывает, в пенсионный фонд с такой PDF-кой ходить ещё не пробовал.
Статья больше похожа на истерику, нежели хоть на что-нибудь конкретное.
И в марте-месяце случается внезапно такой «сюрприз»: мошенники находят фотокопии паспорта, ИНН в высоком разрешении, меняют в нем фото и помещают на нечто похожее на настоящую обложку. Затем дистанционно открывают себе банковский счет - верификация в таких случаях происходит с помощью видеозвонка. И после этого уже как став полноценным клиентом банка - можно запросить ЭЦП для регистрации в... правильно, в приложении «Дия», и в остальных электронных сервисах предлагаемых Министерством.
Технология BankID, которая используется при авторизации в Дия (как один из вариантов) как раз и рассчитана на удаленную аутентификацию пользователя. То, что мошенники по поддельным документам смогли пройти верификацию с помощью видеозвонка - вопрос к процессу верификации, а не к приложению Дия, которая опирается на BankID.
То есть - это можно сделать абсолютно для всех: без разницы зарегистрирован человек в приложении или же нет.
Для чего государству просить регистрацию пользователей, база которых у него уже есть? Государство должно знать своих граждан, остается вопрос лишь в авторизации/верификации. Приложение - лишь интерфейс для доступа к уже существующим реестрам, процесс регистрации пройден при вашем рождении или при передачи данных банкам.
Процитируя его: «Мы получил аттестат соответствия качества, аттестат КСЗИ. Это высокий аттестат, который свидетельствует о том, что приложение "Дия" абсолютно безопасно»- заявил он в октябре прошлого года.
...
Переведя цитату из него: «Сейчас Государственным предприятием "Дия" осуществляются мероприятия по построению комплексной системы защиты информации информационно-телекоммуникационной системы портала "Дия"»... то есть, система защиты еще выстраивается, - а сертификат уже получен?
Приложение и портал - разные сервисы.
Ведь после так называемого «баг-баунти», который длился аж одну неделю, где целых 4 участника нашли аж 6 уязвимостей (на всех) - сомнений в этом точно не остаётся.
Так чего же вы не подали заявку и не нашли все критические уязвимости, коих по вашим заверениям, там просто уйма?
27 июля должен был начаться второй этап баг баунти, открытый для всех.
Почему авторизация выполняется только с помощью номера телефона?
Не только. Авторизация происходит через BankID - пользователь должен иметь доступ в приложение банка (который работает с BankID, а соответственно, соответствуют требованиям для работы с технологией).
Как гражданин страны, должен отметить, что продукты Минцифры - это пока лучшее, что я видел из сервисов государства. Идеальны ли? Нет. Но результат их работы невозможно не заметить.
Чуть больше месяца назад я стал папой, уже успел опробовать одну очень полезную услугу под названием "єМалятко". Примерно за 1 час я заполнил форму для получения 9 различных услуг. В течении недели получил уведомления о регистрации ребенка во всех нужных реестрах и о готовности свидетельства о рождении. Еще год назад мне бы пришлось потратить несколько рабочих дней, обивая пороги целой кучи различных гос. структур (со всем спектром полагающихся эмоций при этом).
Истерик здесь нигде нет - есть факты. Прочтите пожалуйста ещё раз от начала и до конца внимательно.
В первом случае - вопрос к проектировщикам приложения, которые выбрали для верификации документа столь уязвимый способ.
Тех кто подал и нашёл - культурно так "послали"... А министр и вся его команда поблокировали везде, в ответ на комментарии.
Замечательно, - пусть занимаются тем что у них получается: "еМалятко" это весьма положительный пример. Поздравляем, кстати, с пополнением в семье.
Но при этом не лезут в то в чём не соображают - это я о "Дия" и цифровом колхозе "Дия-сити".
У вас действительно истерика от одного слова "Дия".
"В первом случае - вопрос к проектировщикам приложения, которые выбрали для верификации документа столь уязвимый способ." - как можно подтвердить пользователя по другому? написать кучу бумажек, и везти в гос.орган лично?
верификация через банкоское приложение, вдумайтесь! То, что кто то может получить доступ к банковскому приложению не есть дырой в "Дия"
В первом случае - вопрос к проектировщикам приложения, которые выбрали для верификации документа столь уязвимый способ.
Прежде чем быть голословным, почитайте про саму технологию прежде - https://bankid.org.ua
Тех кто подал и нашёл - культурно так "послали"... А министр и вся его команда поблокировали везде, в ответ на комментарии.
Можно подробней, пожалуйста? Кого послали, при каких обстоятельствах? Если "послали", почему уязвимости в паблик не пошли? С удовольствием бы почитал хорошую техническую статью с подробностями.
По крайней мере НБУ, в требованиях к организациям требует всегда писать «BankID НБУ», так как технологии разные. В НБУ интеграции используется дополнительное шифрование при передаче данных.
Вы подчёркиваете удобство пользования услугами, но удобство, как правило, является противоположностью безопасности. Просто подумайте вот о чём: в каком-то далёком колл-центре банка под Жмеринкой сейчас сидит девочка (с зарплатой 200 баксов в месяц), у которой есть право подтвердить верификацию вашей личности при удалённой регистрации счёта в банке по копии паспорта. И вот дальше у мошенников появится ваше ЕЦП, с которым, мало того, что можно в банке всяких дел намутить, так ещё и можно залогиниться в главное, блин, приложение для коммуникации гражданина и государства. А там уже "удобство пользования" начнёт играть против Вас, ибо как вам было удобно воспользоваться "єМалятком", так кому-то будет удобно за Вас открыть ФОП, проголосовать, взять кредит, а может, например, развестить с женой или продать квартиру. Вот тогда "порадуетесь" удобству.
Банки НЕ ДОЛЖНЫ быть источником верификации граждан. Это, блин, коммерческие структуры, ориентированные на зарабатывание денег. Их сотрудники присяги не давали, госслужащими не являются и ответственности за действия мошенников в Дие нести не будут. Архитектура Дии корява от начала до конца.
Вы забываете, что банки очень жестко контролируются НБУ. Погуглите, сколько кругов ада нужно пройти для получения сертификации от НБУ и как легко ее потерять. И да, девочка из Жмеринки несет ответственность.
Да перестаньте. У нас даже нотариусы не несут никакой ответственности. Сколько было случаев непонятной смены собственников - и каждый раз нотариус заявлял что-то типа "меня взломали", "я потерял ключ", "я этого действия не выполнял". Одна как-то сказала "я была беременна и не осознавала своих действий". Никого не посадили, хотя уж в отношении нотариата прям отдельные законы есть, и отдельные статьи криминального кодекса. Девочка скажет "мне показалось, что всё правильно" - и ничего ей никто не предъявит.
А кто должен быть источником верификации граждан? ЦНАПы (там все наверное ответственность несут)? Или нужно еще орган создать?
Всё отлично работало с, например, налоговой, которая выдавал ЕЦП при физическом визите человека к ним, с паспортом и ИНН. Даже можно было дома у себя его сгенерить, а им только публичный ключ принести. Вот это, я понимаю, надёжность. А тут тебе удалённо по фотке паспорта и ЕЦП выдают, и счёт, и электронный пасспорт и вообще всё.
По одному фото никто ничего не даст. Нужно в любом случае подтверждение через распознавание лица
Т.е. налоговая гарантировала что не выдаст ключ левому человеку, а если что - будет нести ответственность?
Вот кстати тоже про это подумал: там в банке девочка сидит за 200 дол. в месяц, а в налоговой пойди 1000 получают? Та же девочка с такой же зарплатой может сидеть и в налоговой. Так что хрен редьки не слаще.
Такая же, ага. Вот только физический визит в налоговую оставляет физический след. Ты проходишь мимо камер, охраны, предъявляешь бумажные документы, фоткаешься, пишешь от руки заявление и расписываешься ручкой по бумаге. Это всё потом может быть использовано следователем. А что использовать при онлайн-верификации? Скриншот с камеры, где в разрешении 320х240 крутится какая-то похожая (или не похожая?) голова мошенника? Шансов на успех расследования куда меньше.
Дия упростила мошеничество или можно было это и без Дии организовать?
Добавила ещё один способ для мошенников. И это с учётом того что на её разработку и раскрутку было потрачено миллиарды бюджетных средств.
Именно дия, не банки (сторонние сервисы)?
Дия добавила вектор атаки. Раньше при доступе мошенников к счёту в банке вы рисковали только деньгами на этом счету. Теперь вы вообще чёрт его знает, чем рискуете, ибо Дия потенциально даёт доступ к любым гос.услугам, сделкам, документам и т.д. Я понимал, как действовать для защиты счёта в банке. И я нифига не понимаю, как теперь защититься от Дии.
письменность -> телеграф > телефон > интеренет > мобильный телефон добавили вектор атаки, можно бороться с ними или с мошенниками
Дия тут как раз не причем. Вы не думали, что любой УЦ мог выпустить на вас ЭЦП ещё до существования Дии и подписывать им договоры?
А в Дии чтобы получить ЭЦП (Дия ID) вы должны войти в приложуху и пройти проверку по лицу, чтобы получить сертификат. Это второй фактор.
В случае со статьей, мошенники переслали копии документов из Дии через шеринг документов. Подтверждение личности или подпись какого либо договора в данном случае не выполняется.
Дия тут как раз не причем...
мошенники переслали копии документов из Дии через шеринг документов. Подтверждение личности или подпись какого либо договора в данном случае не выполняется.
Как эти два предложения согласуются? Как Дия может быть не при чём, если через неё выполнялись определённые действия, ещё и не требующие подписи и подтверждения личности?
Мошенники могли отправить копии паспорта как до Дии так и сейчас. Передача копий через Дию не является подтверждением личности. Если МФО нарушает закон в части проведения идентификации, этим должен заниматься Национальный банк. Дия никак эту ситуацию не меняет.
Передача копий через Дию не является подтверждением личностиМинистерство заявляет противоположное — шеринг документом является подтверждением личности (3-й абзац). И это при том, что злоумышленникам удалось зайти воспользоваться этим функционалом без участия владельца документов…
Вы не думали, что любой УЦ мог выпустить на вас ЭЦП ещё до существования Дии и подписывать им договоры?Какую юридическую силу это имело тогда, когда эл. подпись не была уравнена к физической? Какие действия можно было совершить? На данный момент Дия увеличила количество опираций, которые можно было совершить. В следствии этого риски мошенничества гораздо выше.
вы должны войти в приложуху и пройти проверку по лицу, чтобы получить сертификат. Это второй фактор.Уже на каждом углу говорят, что эту проверку через специальные бесплатные приложения удалось пройти. Вы проверяли насколько это безопасно?
В случае со статьей, мошенники переслали копии документов из Дии через шеринг документов.А каким образом они вообще вошли в Дию без участия человека? Почему это в принципе возможно?
А каким образом они вообще вошли в Дию без участия человека? Почему это в принципе возможно?
Насколько известно из этой истории - был взломан банкинг, потом при помощи авторизации через BankID злоумышленники попали в Дию и передали копии документов.
Какую юридическую силу это имело тогда, когда эл. подпись не была уравнена к физической? Какие действия можно было совершить? На данный момент Дия увеличила количество опираций, которые можно было совершить. В следствии этого риски мошенничества гораздо выше.
ЭЦП была уравнена к физической задолго до Дии. ЭЦП могли похитить или выпустить в ненадёжном УЦ и всё было бы точно так же. МФО выдали кредит без подписи. Это на их совести.
был взломан банкинг, потом при помощи авторизации через BankID злоумышленники попали в ДиюТак вот и спрашивается — почему идентификация личности завязана на ненадежные механизмы банков и ещё более ненадёжные СМС? О «ненадёжных механизмах» заявлял сам министр, но при этом не решил исключить этот способ аутентификации. Я могу долго и упорно рассуждать о механизмах безопасности, которые предлагались разными людьми, но все они были проигнорированы.
ЭЦП была уравнена к физической задолго до ДииКаким законом утверждается, что ЭЦП сравнима с физической подписью и подтверждает личность? ЭЦП применялась исключительно в некотором списке операций. Теперь эл. паспорт (внутри ЭЦП) сравнили с физическим.
Напоминаю — предоставлялся доступ только к некоторым услугам. Теперь их список сильно расширен. К примеру, как недавно передали, разрабатывается услуга онлайн-нотариусов. Многих ужасает, что через взлом банка по СМС можно будет и любую услугу у нотариуса совершить.
Опять же, вместо добавления новых векторов атаки следует улучшать текущие механизмы. Не добавлять, а улучшать.
Ну ведь всегда когда развивается проект есть какие-то побочные неприятные эффекты..Дорогу должен осилить идущий...Дия это реально классный сложный проект...
Тут же на Хабре была статья как в России через ЭЦП-КЭП мошенничество с недвижимостью было.И тут же запретили такие операции (в Росии вообще во всех непотнятный ситуациях тут же запрещают, что бы то ни было).
Не бойтесь учтут те проблемы ДИЯ и без запретов поднимут качество приложения и услуг.
Почему Вы например не поднимаете эту тему на DOU Украинском ИТ-портале?
Поднимали.
https://dou.ua/forums/topic/34467/
Но там навскидку(прочтнеие по диагонали) совершенно другая статья.Тут Вы даже обезьяну с гранатой приципили в картинку.(что на мой взгляд довольно оскарбительно)
Реально Украина ...да с ошибками с проблемами идет вперед...тот же Прогамный РРО какой шаг вперед.(В Росии 4-6 дармоедов предпринимателю надо кормить чтоб чек из аппарата до налоговой дошел .....про ПРРО им и не снилось)
Я бы предпочел, чтобы вопросы идентификации меня как гражданина не сопровождались "ошибками и проблемами" за мой счет и с живым тестом на людях, которые получают потом кредиты или тюремное заключение. Система должна быть протестирована на самом высоком уровне, а не так как вышли на днях цифровые сертификаты COVID, где в поле surname попадает имя, а в forename фамилия.
Лично у Вас проблемы с ДИей Были?
У Меня и у круга моих знакомых не было.Фамилию с именем перепутал оператор в сертификате COVID. что вы от программы хотите-то? Чтоб она имя проверяла по справочнику имен?
А насчет кредитов и тюремных заключений...То нужно достойное оппонирование этим фактам.
Эту статью надо на DOU ,-Возможно там найдуться эксперты,что скажут,что это было не так или не совсем так и история ещё не закончена и имеет(будет иметь совсем другой конец)
>> Лично у Вас проблемы с ДИей Были?
Не было, но это не является аргументом. Вероятность проблем в 0.01% скорее всего не затронет никого из вашего круга знакомств, но будут 40000 счастливчиков в стране, которых затронет. Точно такие же были разговоры про COVID.
>> Фамилию с именем перепутал оператор в сертификате COVID. что вы от программы хотите-то? Чтоб она имя проверяла по справочнику имен?
Хочу, чтобы нажав в программе "получить сертификат" я его получал на свое имя. Вроде как не много от сертифицированного продукта, сделанного за мои деньги, как налогоплательщика.
>> А насчет кредитов и тюремных заключений...То нужно достойное оппонирование этим фактам.
Нужно чтобы их не было. Вообще не было, а если вдруг баг после месяцев тестирования пролез в продакшн, то чтобы это разработчики и должностные лица признавали и исправляли, включая компенсации пострадавшим. Пока что мы слышим очень странные (напала "звездная болезнь"?) отписки от архитектора системы и странные комментарии от сочувствующих анонимусов, которые наверное тоже из команды разработки.
Фамилию с именем перепутал оператор в сертификате COVID. что вы от программы хотите-то? Чтоб она имя проверяла по справочнику имен?
Если Дия - это электронный паспорт, то она и так знает ваше/моё имя.
В таком случае паспорт (программа) должен:
выдавать сертификат на ваше имя, а не на имя Васи Пупкина вбитого неизвестным оператором в какую-то там БД
в случае расхождения имени реального (заведомо, повторяю, известного паспорту) и в сертификате фиксировать ненормальную ситуацию и инициировать процедуру исправления данных.
Лично у Вас проблемы с ДИей Были? У Меня и у круга моих знакомых не было.Хотите сказать, что если лично вас автобус не переехал, то проблемы аварий нет? Указывали на аргументированные проблемы. Этого достаточно.
Система должна быть протестирована на самом высоком уровне, а не так
Нужно делать хорошо, а плохо делать не нужно!
ЗЫ: с неправомерным получением ковидосубсидии — реальный трешъ. Но дижитализация тут нипричём, разве что в обвинении появилась фраза про использование компьютерных средств. Он точно так же мог написать заяву на получение субсидии на бумаге.
Пофантазирую: люди этого возраста считают, что на бумаге это серьезно и нарушение, а вот в этих тырпырнетах раз нажал на кнопочку и оно разрешило, то значит все в порядке. Деталей, конечно же не знаю, может там принципиальный нарушитель порядка был на самом деле.
Нужно делать хорошо, а плохо делать не нужно!Вы считаете нормальным, что а) приложение не проходит сертификацию; б) министерство не предоставляет информацию о прохождении сертификации; в) упускаются из вида уязвимости; г) не рассматривается вопрос нац. безопасности критических операций страны?
в «Дия» присутствует возможность одновременного входа с нескольких устройств. При входе с нового - логин-сессия на предыдущих НЕ прерывается.
Подпись хранится только на одном устройстве, и при попытке подписать какой-то документ на новом устройстве она создаётся заново.
Важно рассматривать и те случаи, когда у владельца Дия ранее установлена не была.
Какой исследователь и где?
Ну и даже если допустить, что кто-то войдет на новом устройстве, для создания новой подписи на этом устройстве нужно подтверждение личности.
Какой исследователь и где?Один из организаторов ГО «Украинский Кибер Альянс» на своем канале. Это подтверждают и другие лица.
для создания новой подписи на этом устройстве нужно подтверждение личностиВы упускаете ряд моментов. К примеру, этот. Дополню, что есть понятие «моделирование». Мы живём в мире с как минимум тремя x,y,z. Как считаете, у вас приемлемые навыки поиска информации, к примеру, в сторах?
Один из организаторов ГО «Украинский Кибер Альянс» на своем канале. Это подтверждают и другие лица.
Вы упускаете ряд моментов. К примеру, этот.
ранее исследователем заявлялось, что механизм недостаточно надежен и его обходит бесплатное приложение, работающие с фотографией человека
"на своем канале", "подтверждают", "заявлялось". Но где доказательства, Билли? :) Хотелось бы увидеть ссылки на эти исследования и высказывания, а не только ваш пересказ.
Особенно интересует это заявление
для тестировщиков безопасности было опубликовано приложение с другими методами верификации
Как считаете, у вас приемлемые навыки поиска информации, к примеру, в сторах?
Не понял вообще связь вопроса с нашим разговором, и какие вторы имеются в виду. Но в целом, давайте считать, что приемлемые.
Хотелось бы увидеть ссылки на эти исследования и высказывания, а не только ваш пересказ.Для этого сначала отмените несколько статей криминального кодекса, пожалуйста.
для тестировщиков безопасности было опубликовано приложение с другими методами верификацииРечь о версии приложения из BugBounty.
Не понял вообще связь вопроса с нашим разговоромУ вас есть все возможности проверить то, что я сказал. Достаточно поискать в сторе.
Но ведь даже если мошенническим способом обманув банк авторизоваться через BankID в Дие на новом телефоне, то ЭЦП там не будет и на этом вектор атаки обламывается.
А получить кредит на чужое имя по ксерокопии паспорта - история стара как мир, относится к мутным кредитным организациям и коррумпированным сотрудникам банков, такое было до Дии, есть и будет, для этого и Дия не нужна.
ЭЦП там не будет и на этом вектор атаки обламываетсяДия сама может выпускать ЭЦП для пользователя.
Может, но злоумышленник верификацию не пройдет и никакого ЭЦП не получит. Да там и легального владельца с трудом узнает эта их распознавалка лица.
злоумышленник верификацию не пройдет и никакого ЭЦП не получитК вашему сведению, ранее исследователем заявлялось, что механизм недостаточно надежен и его обходит бесплатное приложение, работающие с фотографией человека. Чтобы скрыть это, для тестировщиков безопасности было опубликовано приложение с другими методами верификации. Для всех остальных — ничего не изменилось.
А меня Дия развела. Отсканировал номер на паспорте, приложился к nfc, крутил головой перед камерой - в итоге ошибка и все заново. Так что если у вас нет банк. акка - не ведитесь, тупо сбор персональных данных непонятно кем.
А в чём, собственно, дыра? Кредит взяли не через Дию. Залогинились в неё — это да. Но проблема не в этом изначально. Пуш есть. Но там говорят, что приложения не было у человека. А 2FA куда слать? Оно через банк так-то проходит.
Ненавижу таких псевдо-айти-патриотов, которые дискредитируют всю идею на основании собственных выдумок. Благодаря таким как Вы, до сих пор любая бумажка занимает недели и месяцы в Украине и обвешана "решалами" и бытовой корупцией "за срочность" и прочее.
Есть отлиная идея и её нужно всем сообществом внедрять. Государству в этом - помогать. А ты иди вон получи справку о составе семьи легальным образом сходи - тебя быстро попустит.
Сливы идут не из дии, а из всех предприятий предоставляющих сервисы. Дия позволит хотя бы молодым людям отслеживать чтобы их данные никем более не использовались. Этот проект не для 2021 года. Он для этого века - начало решения о безбумажной идентификации.
Но вы так конечно похороните его в Украине - там достаточно совковых бабушек чтобы воспринимать ваши статьи всерьёз. В итоге такая вещь появится на западе и за океаном, а вы будете собирать ворохи бумаг и стоять в месячных очередях и оплачивать решалам бессмысленные справочки.
Сделайте хорошо и мы будем только рады! Не закрывайте bug bounty программу и люди будут постоянно сообщать о проблемах. Признавайте свои ошибки и выкладывайте документацию по API на github - им станут пользоваться и другие разработчики и сообщать если что-то не так.
Но сейчас же реально ситуация удручающая - разработчики считают себя мушкетерами, между собой багрепортеров называют сопляками и ***сосами, а в ответ на обоснованную критику (перепутаны поля в API, = сертификат вакцинации недействителен) придумывают сказки про "оператор неправильно вбил". Ну а то, что творится в этом топике с волной защитников с 0 постами это вообще за гранью, ведь IT специалисты должны в первую очередь думать о безопасности. Представьте себе, что эти люди делают самолет и не особо задумываются о мелочах, вроде проваливания людей в сортир, ведь "самолет и дальше летит нормально". Но мы все уже в этом самолете и выбора нет, как не было у женщины с кредитом!
Сорян конечно, что у меня тут ноль постов. Но вы сути не понимаете - есть технический дискурс и конкретные "испольнители". А есть тренд и репутация. Это не первый пост на эту тему раздумают по интернетам.
Репутация всей идеи катится к нулю. Бабушки Петровна и Илинишна уже под подъездом обсуждают как их обкрадёт зеленский тем что у него их паспорта в компьютере. Этого добились, это пожалуйста. Ведь примеры приведённые в статье притянуты за уши или как раз указывают на то что процесс дёт в нужное русло. Покажите мне программу и ли проект которые были успешны с первого релиза? И нотариусы и приличные банки научатся считывать рфид. А неприличные лишатся лицензий по результатам комиссий и решений суда. Апи поправят, а пенсии петровны и илинишны никто просто так №из телефона" не украдет, пока они сами мошенникам из тюрьмы не продиктуют свои данные
Илинишны и Петровны и не узнают о ситуации, если разработчики будут принимать баг репорты сами, а не через пинок в новостных ресурсах другой страны (!!). Мой коллега, не профильный тестер, но периодически находит проблемы и пытается их репортить, на что получает негативный фидбек или его отсутствие. Вопрос решается только через инсайдеров, которые форвардят это разработчикам, в процессе выслушивая про всяких там советчиков. Я бы сказал, что репутация для IT сообщества уже под вопросом, а если не заручиться его поддержкой, то выходит, что и делается все для пенсионеров, а не прогрессивной молодежи. Погуглите про переписку с архитектором системы на тему opt-in и opt-out. * Ну и в любом случае, сохранять репутацию методом умалчивания проблем или вообще цензуры это, кхм, тоже странно.
При чем, тренд мне откровенно нравится. Но процесс не идет в нужное русло, потому как вместо коммуникации происходит мискоммуникация, а заодно виден сомнительный QA. Начальство сказало запилить сертификаты вакцинации к дню независимости? Окей, пилим как-попало, лишь бы успеть.
>> Покажите мне программу и ли проект которые были успешны с первого релиза
Наверное, вы хотели сказать "корректно работали", а не "успешны"? Успешность для государственного продукта не измеряется. Примеров же весьма много, например, банковские приложения проходят тотальную проверку и несколько уровней тестирования, софт для самолетов и автомобилей, медицинских аппаратов. Я не помню случаев, чтобы у HBSC или Citibank кто-то мог авторизоваться в приложении после его удаления. Делайте, делайте хорошо, слушайте свою ЦА, тестируйте - тогда будет вам и репутация.
*первые статьи показывают тексты для петровн, eb**e.it тоже не очень информативно, но вы уж постарайтесь, эта информация есть очень показательна.
Вы мешаете все в кучу.
Внедрение цифровых технологий по идее должно уменьшить количество справок до ~0 просто потому что любой чиновник сможет сам запросить данные на вас при наличии обращения от вас автоматически. Бумажная система сообщений когда сам проситель носит сообщения от разных гос органов друг другу ногами просто отомрет.
Получение де факто удаленного доступа к государственным сервисам это очень серьезная вещь. И многих в том числе и меня не радует что это можно сделать с помощю ключей полученных на мое имя в каком-то банке. В идеале хочется чтобы была государственная система аутентификации например по лицу и первая регистрация в ней - только при личном присутствии с документами. А тут опять сдедали дыру в безопасности ради простоты регистрации в системе.
При нынешнем уровне безопасности системы вообще хотелось бы сходить и написать бумажное заявление чтобы возможность регистрации в этой дие и действий через нее для меня отключили и не включали пока не напишу заявление о включении. Не знаю, возможно ли.
При нынешнем уровне безопасности системы вообще хотелось бы сходить и написать бумажное заявление чтобы возможность регистрации в этой дие и действий через нее для меня отключили и не включали пока не напишу заявление о включении. Не знаю, возможно ли.
Не возможно. Вы уже там, они получили доступ ко всем гражданам страны и внесли их в систему. Для отказа должна быть реализована система opt-out, вот что на счет нее сказал архитектор Дии:
Проблема не в том что мои данные в базе а в том что потенциально кто угодно через уязвимость может начать действовать от моего имени через приложение. И хороо бы чтобы каждый мог деактивировать приложение и активировав сходив ногами в центр обслуживания населения с пасспортом.
Ну вот в цитате было сказано, что архитектор против этого. Надеюсь, что огласка повлияет на его мнение. А потом, через годик-другой, после адекватного аудита и багфикса, можно подумать о том, чтобы пользоваться или вообще перейти с бумажных документов на электронные. Но не в принудительном порядке на сырую версию без возможности отписки.
Натянули сову на глобус. Уже сегодня десятки различныз приложений хранят и обрабатывают личные данные. Базы регулярно сливают. Кредиыт по ксероксу паспорта выдают левым людям в промышленном масштабе.
Ну все проблемы в дие, да. Аж целый один(!) подтвержденнный случай мошенничества.
Натянули сову на глобус. Уже сегодня десятки различныз приложений хранят и обрабатывают личные данные. Базы регулярно сливают. Кредиыт по ксероксу паспорта выдают левым людям в промышленном масштабе.Считаете, что должно быть ещё одно место, через которое это делают? До сих пор кредит с человека не снят.
Ну все проблемы в дие, даЭто дополнительная проблема, да.
Аж целый один(!) подтвержденнный случай мошенничества.Обращений по этому поводу больше, чем одно. Среди журналистов были цифры более чем в 50 тыс. случаев. Именно этот случай привлёк внимание из-за того, что его многократно публиковали. Если бы не публикации, то и этот кредит до сих пор не выясняли бы. Более того, кредит не снят, ситуация не решена.
Считаете, что должно быть ещё одно место, через которое это делают? До сих пор кредит с человека не снят.
Считаю что масштабы проблемы преувеличены. По сути дела из единичной мухи раздули популяцию слонов всей планеты.
Среди журналистов были цифры более чем в 50 тыс. случаев.
Дада, но они все такие секретные, что никто никому ничего не скажет. Странно только что ограничились 50 тыщ, а не 500 млн.
Пункт 1. Никогда и никому не отправлять скан своего паспорта. Максимум - паспортные данные.
Пункт 2. Какие проблемы сделать получение ЕЦП через 2-факторную верификацию? И вообще все подобные операции (включая вход с другого устройства) проверять через привязанный мобильный номер?
Проблема такая - подобной возможности в приложении "Дия" нет.
И вообще все подобные операции (включая вход с другого устройства) проверять через привязанный мобильный номер?Проверка через мобильные номера не является безопасной. За последние несколько лет было более двух десятков публичных случаев угона СМС без угона мобильного номера.
"Дія" как и любой другой онлаин сервис не совершенен. Совершенность это бесконечное количество времени разработчиков, которое стоит бесконечное количество денег. По этому за совершенный код моей команды никто платить не хочет. Мы пишем заведомо несовершенный код, который принесет бизнесу успех в критериях скорости, стоимости и качества. "Дія" меня полностью устраивает. И подозреваю что есть 600+ человек из вашей IT-гильдии, которые машут кулачком и пальчиком, как на видео, притендуя на роль Министра Цифровой Трансформации.
Есть Monobank. Отделений у него нет. Прошел верификацию онлайн. Теперь и через него есть BankID. Могу зайти в "Дія".Внимание вопрос: зачем мне заходить через BankID в "Дія" если мне сразу выдали кредитную карту с 30000 грн. лимитом? Я смог этот лимит обналичивать (комисия 4%) и делать с него покупки (без комисии).Ответ: Monobank может потерять штуку баксов если выдаст BankID левому человеку.
Я не против возмещать кредиты и другие оплошности "Дія" как налогоплательщик 40-милионной страны в обмен на удобство. Так как и не против интернета, сотовой связи с симками, интернета через спутники, криптовалют, ИИ, ракет Земля-Луна-Марс и других инноваций, которые добавляют в нашу жизнь массу удобства и немного, решаемых по мене возникновения, проблем с безопасностью.
Ваше право, конечно, но чем это в итоге обернётся - большущий вопрос.
Нас глупо упрекать в сопротивлении инновациям - мы всё же объединяем ИТ-специалистов своей страны.
Главное, чтобы это было профессионально и качественно, - а не с подходом профанов.
Я не против возмещать кредиты и другие оплошности «Дія»
Я — категорически против. Но тут проблема не в приложении, а в ростовщиках, раздающих кредиты без верификации.
Есть Monobank. Отделений у него нет. Прошел верификацию онлайн. Теперь и через него есть BankID. Могу зайти в «Дія».Внимание вопрос: зачем мне заходить через BankID в «Дія» если мне сразу выдали кредитную карту с 30000 грн. лимитом?
Можно пройти верификацию с ксерокопией паспорта (в статье утверждают что можно).
Можно оформить ковидосубсидию (и подвести хозяина паспорта под уголовное дело).
Можно оформить цифровую подпись и продать квартиру.
Онлайн-сервисы результат эволюции Интернета. Они упростили мошенничество и наплодили уязвимостей во многих, если не во всех сферах. Давайте зрить в корень и закроем Интернет, запретим мобильную связь, собьём спутники Маска. За одно защитим детей от призывов к самоубийству и усложним распространение детской порнографии. Одни плюсы...
Интернет сделал возможным очень много разных опасных "можно", и ваш список не полон. Но человечество с этим как-то живет. Правда некоторые страны начали банить Интернет. Надеюсь, что из-за таких, как вы этого не случится у нас в том же масштабе.
Не буду озвучивать свой часовой рейт, дабы не травмировать вас суммами, которые я теряю, стоя в очередях в рабочее время за бумажками. Так что я тоже категорически, но ЗА.
Не буду озвучивать свой часовой рейт, дабы не травмировать вас суммами, которые я теряю, стоя в очередях в рабочее время за бумажками.
Почему бы не послать слугу? Обеспеченный господин не может отправить слугу? :D
Так что я тоже категорически, но ЗА.
Любопытно бы узнать, за что именно. Потому что повесить чужой долг на обеспеченного человека это куда интереснее, чем на пенсионера.
Да я бы рад, но слуге надо сделать пластику лица, что-бы максимально был похож на меня, научить подписываться так же, как и я, выдать оригиналы документов.
Но такой слуга еще более небезопасен чем Дія.
ЗА борьбу с корупцией, бюрократией.
ЗА борьбу с корупцией, бюрократией
Я тоже за все хорошее и против всего плохого. Пока что - всё только хорошее. Онлайн сервисы, удобно, да. И ломать там пока нечего. А когда туда завезут цифровую подпись, с помощью которой можно продать квартиру или машину, например?
Такой богатый, а не знаете про доверенности.
Ответ: Monobank может потерять штуку баксов если выдаст BankID левому человеку.
Вот именно. В случае монобанка ущерб очень понятен и ограничен, вот этой штукой баксов. Даже если каким-то способом мошенники выпустят эту карту на меня, и Монобанк доколебётся до меня - я рискую всё той же штукой баксов. А теперь вопрос - чем я рискую, если Монобанк залогинит меня в Дию и даст возможность от моего имени взаимодействовать с государством? А чёрт его знает чем. Это плохо.
Взломать или обойти безопасность можно любого онлаин сервиса. Задача сервиса сделать это нерентабельным и рисковым занятием. Лучший способ для Дія и государства решить все проблемы это по-раньше выйти в продакшин. Именно так многие успешные продукты обходят конкурентов, которые тратят уйму денег и времени делая "идеальный" продукт, который к моменту релиза уже потерял рынок.
Я, к сожалению, не совсем уверен в конкуренции и рынке в этом контексте. Конкурент Дии - бумажный паспорт и очередь за талончиком "на только спросить"? Тогда приложение по всем параметрам впереди. Ну и если будет баг в вашем рыночном приложении, то пользователи могут уйти к другому. В нашем случае пользователи могут уйти лишь назад к бумажной бюрократии или в тюрьму, если баг серьезный.
Лучший способ для Дія и государства решить все проблемы это по-раньше выйти в продакшин
Кого нужно опередить любой ценой?
Именно так многие успешные продукты обходят конкурентов
Какие конкуренты имеются в виду?
Не буду отвечать на эти очевидные вопросы. В правительствах государств мировых лидеров они не возникают. Видимо для вас Украина должна оставаться серой посредственностью и плестись в конце говоря "какие конкуренты", "кого опередить"
("любой ценой" это ваша фраза. Некрасиво формулировать предложения, приписывая то, что не говорили)
Не буду отвечать на эти очевидные вопросы. В правительствах государств мировых лидеров они не возникают.
Я не знаю, что за вопросы возникают в правительствах мировых лидеров, правда. Но на простой вопрос (без троллинга) ожидается получить простой ответ (без демагогии).
Видимо для вас Украина должна оставаться серой посредственностью
Это ваши слова. Я ничего подобного не говорил.
«Жижитализация» по-украински. Или как неумелые реформы ставят под угрозу персональные данные жителей целой страны