Чому «Дія» для пересічних українців небезпечна

І ще раз про два гучних інциденти національної кібербезпеки: “підпис Джо Байдена” та “повісити кредит через Дію”.

Канал Україна зробив короткий репортаж про ці два свіженькі кейси компрометації системи електронних довірчих послуг в Україні. Журналіст Віталій Литвин не полінувався (хоча б спробувати) поспілкуватися віч-на-віч із усіма, хто має інформацію по цим двом мега-інцидентам, кожен з яких просто вщент руйнує ось цю систему електронних довірчих послуг.

 

Але не усі погодилися коментувати.
Кіберполіція та СБУ від коментарів відмовилися.
Міні-стресство циркових трансмутацій також традиційно відморозилося. А шо казати, якщо самі не в курсі, як так сталося?
«Тю, воно якось само..» – це єдине, що вони могли б сказати.

Замість цього відправили відбріхуватися заступника Голови Держспецзв’язку Олександа Потія. Коментуючи «кейс Джо Байдена», пан Потій, плутаючись та відводячи очі в сторону, промовив:

«була використана помилка в організаційно-технічному протоколі ідентифікації».

І ще:

«… користувач неправильно використовував та зберігав свої ключові дані…».

Звісно, користувач у всьому винний, а як же ж. Ви неправильно користуєтеся цим типом гранат, самі винуваті.

Але повернемося до «помилки протоколу». Потій:

«… або була помилка, якою могли «скористуватися», щоб зробити таку підміну».

Тут навіть журналіст підловив Потія:

«тобто виходить, що на президентському сайті петицій була можливість під час авторизації, перед самим моментом підписання змінити своє ім’я на інше?».

У сюжеті цю думку далі не розвивали, і дарма. Якщо все ж покрутити її далі, то у голові автоматично формуються питання:

– А скільки років існувала ця «помилка»?
– А чому ви її не виявили раніше?
– А скільки людей могли скористатися цією «помилкою» за весь час її існування?
– А скільки петицій тепер можна вважати недійсними через оцю «помилку»?
– А скільки ще подібних «помилок» може бути, коли вони проявляться і до яких наслідків призведуть?

«У Держспецзв’язку запевнили, що «помилку» оперативно виправили, і в майбутньому таке не повториться», – набрехали наївним журналістам чиновники.

Я впевнений, що набрехали. Тому що не маю сумнівів, що у ані у Держспецзв’язку, ані у мінцирку, ані у кіберполіції не знають, яким саме чином серед підписантів петицій з’явився Joe Biden. Але про це точно знають в офісі преЗедента, оскільки більшість експертів вважає, що лише з їхнього боку було можливе подібне втручання. Сподіваюся, колись ми все ж дізнаємося правду про цю махінацію, з конкретними механізмами та з прізвищами відповідальних.

Далі у сюжеті мова йшла про інцидент “кредит через Дію”.

Постраждала від нього пані Людмила повідомила журналісту цікаві факти, про які раніше не було відомо широкому загалу.

Перше: спочатку, у березні 2021, невідомі намагалися зламати email, яким вона давно не користується, і який прив’язаний до робочого корпоративного номеру. Контрактного, звісно. Але основний email пані Людмили прив’язаний до її особистого номеру, який (сюрприз-сюрприз!) також контрактний. Тобто переоформити обидва номери можна лише по паспорту.

І коли шахраї намагалися зламати перший «занедбаний» email, на основний email прийшло повідомлення про «зміну вашого номеру телефону», і пані Людмила миттєво зреагувала, не дозволивши зловмисникам угнати навіть старий email, яким давно вже не користується.

Але все одно, наступного дня після такої спроби, з мікро-кредитних організацій та навіть банків почали надходити дзвінки та повідомлення, що на неї планується оформлення кредитів. Від всього начебто вдалося відбитися. Начебто.

Але за місяць, наприкінці квітня 2021, пані Людмила дізналася, що вона таки взяла кредит, підписала його Дією і повинна його віддати. Про подальший розвиток подій та чим історія закінчилася я детально розказував тут.

Журналіст Віталій Литвин звернувся особисто до цифро-міністра Федорова за коментарями стосовно цього унікального випадку, але у того чомусь не знайшлося часу. Але його прес-служба відповіла просто найвеличнішою уріно-офтальмологією:

“Тут ми спостерігаємо ситуацію, коли в людини шахраї спочатку вкрали номер телефону, потім отримали доступ до її банківського акаунту, підтвердивши вхід з особистої пошти».

Правда ж полягає у тому, що у пані Людмили:

1)не крали номер телефону
і
2) не крали email. Жоден.

Сама постраждала на камеру вам це підтверджує, зебіли, якщо ви не читали поліцейські протоколи. Це настільки тупа і настільки нахабна брехня жижиталізторів, що у мене навіть закінчилися епітети. І це вщент руйнує намагання всяких федієнок та інших міні-циркових несмішних клоунів перекласти провину на саму постраждалу, замість визнання недосконалості кіберзахищеності Дії.

Скрін федієнко:

Не мають ніяких правдоподібних відмазок, то вирішили просто надзюрити нам в очі. Це не сеча, це божа роса, вірте нам.

А ще дозволю собі нагадати, що у жовтні 2020 той таки Федоров екзальтовано викрикував, що додаток Дія має «сертифікат КСЗІ» і що це «Оскар у кібербезпеці».

Не знаю, звідки адвокат Олександр Горобець знає про пріоритети під час розробки додатку Дія, але свою позицію Верховний Патріарх Всєя Жижиталізації України чітко позначив ще у листопаді 2019:

«Роль кібербезпеки трохи перебільшена».

Тому я не думаю, що кібербезпека потрапила хоча б у першу п’ятірку пріоритетів.

Саме через подібні факти (і також безліч інших проблем) український електронний цифровий підпис ще довго не визнаватимуть у ЄС, Канаді чи США. Якраз через «роль кібербезпеки трохи перебільшена».

Через люте небажання визнати помилки.
Через пихате ігнорування власної некомпетентності.
Через свідому нахабну брехню.
Через підліткову безвідповідальність.

Десь у середині сюжету його автор сказав за кадром:

«І це мовчання державних органів відверто лякає».

Мене все це лякало десь років 6-7 тому. Зараз я втомився лякатися, залишилася лише холодна лють до напівграмотних агресивних ідіотів у владних кабінетах. Невиліковних та безнадійних.

Щоб захиститися від Дії та «дієвих», у нас з вами є лише одна зброя: тиснути на державні органи, вимагати від них правди, примусити їх виконувати покладені на них завдання, а не лише набивати кишені нашими грошима.

Інакше «кредит від Дії» та відповідний дзвінок від приємного колектора завтра отримаєте саме Ви.

Ще раз про підпис Джо Байдена, та Як повісити кредит через Дію

Leave a Reply

You can use these HTML tags

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>