🚀 Trustee Plus - картка європейського банку і криптогаманець. Встанови додаток 👉
Марія БровінськаГаряченьке
18 грудня 2024, 11:50
2024-12-18
UPD. «Реалізувався головний дефект архітектури „Дії“». Кіберексперт пояснив, як зловмисники теоретично могли зламати акаунт користувачки в «Дії» і оформити кредити. У Мінцифри це заперечують
Кіберексперт Костянтин Корсун прокоментував ситуацію щодо того, як зловмисники могли зламати «Дію» користувачки та оформити на неї кредитів у банках та мікрофінансових установах.
Нагадаємо, Founder і CPO у KARAKUM Soft Вікторія Александрова заявила, що стала жертвою шахрайства. Тепер вона ― «позичальниця» у низці фінансових установ та мікрокредитних організацій, хоча сама фахівчиня ніяких кредитів не оформлювала. Воан стверджує, що шахраї зламали її акаунт в «Дії». Детально про інцидент ми писали тут.
«Пам’ятаєте часи „кредитів через Дію“, коли шахраї оформлювали на жертву кредити без її відома? Так от, ті часи повертаються. Я думав, що цього вже не буде. Поставки старих та нових проблем для користувачів Дії — відновлено. Як і очікувалося», — зазначив Корсун.
Він каже, що інші подібні випадки завершилося погано для жертви, окрім «найпершої, «іміджевої» жертви, коли зусиллями особисто Федорова, Кіберполіції та СБУ ситуацію було вирішено «вручну». Детально цей кейс dev.ua описував ще в 2021 році,
«А сьогодні сталося насправді те, про що ми з колегами писали ще на початку лютого 2022 року: реалізувався головний дефект архітектури «Дії» «розмежування інструментів ідентифікації за рівнями довіри. Це коли ти свою відповідальність перекладаєш на іншого, простіше кажучи», — вважає Корсун.
Державний сервіс електронних документів, на його переконання, повинен був мати власну систему ідентифікації — супернадійну, супербезпечну, з найвищим ступенем довіри. «Замість цього диджиталізатори переклали відповідальність за ідентифікацію громадян — на банківську систему з її власною системою ідентифікації. Яка непогана, але нижчого рівня, з меншим ступенем довіри. Тому що банки, у разі чого, ризикують лише власними грошима, а фінансові ризики були закладені при побудові системи й покриваються з передбачених для таких випадків фондів. Забезпечення реалізації функцій офіційної державної ідентифікації у цю систему не закладалося, як і відповідних ризиків зловживань та витоку персональних даних. А це вже не матеріальні інтереси, а національні, національної безпеки, які банки не могли і не повинні були закладати та упереджувати», — зазначив фахівць.
Корсун вважає, що «Дію» треба просто заборонити — на час перевірки незалежною міжнародною комісією ступеню її небезпечності для суспільства.
«Якщо ти дозволив хлопчикам погратися з небезпечними іграшками — май мужність якнайшвидше визнати свою помилку, щоб вона не призвела до ще більш руйнівних наслідків. Якщо злочинці змогли зайти в „Дію“ жертви через один банк — зможуть і через інші. Тому що помилковий принцип — залишається незмінним. І ліві кредити можуть тепер виявитися у багатьох громадян», — пояснює він свою позицію.
UPD: Водночас, Мінцифри прокоментувато інцидент: там заперечують факт того, що шахрайство, якому піддалася Founder і CPO у KARAKUM Soft Вікторія Александрова, було якимось чином спровоковане незахищеністю «Дії».
«Зловмисники отримали доступ до BankID потерпілої, за допомогою якого оформлювали кредити. Вони також використали BankID, щоб увійти в „Дію“, але передати копію цифрового паспорта чи оформити кредит через „Дію“ без власника й цифрового підпису неможливо», — зазначили у надісланому dev.ua коментарі Мінцифри.