Майнинг персональных данных. Активисты нашли несколько способов использовать Дию не по назначению

Журналист НВ Бизнес стал свидетелем двух новых экспериментов с государственным приложением и собрал аргументы сторон.

«Мобильное приложение Дия, точнее электронные паспорта и другие электронные документы, созданные Минцифрой, имеют несколько существенных изъянов на уровне архитектуры, из-за чего становятся возможными различные злоупотребления с цифровой идентичностью», — говорит телеком-эксперт Роман Химич. Он неоднократно критиковал как само приложение, так и выбранный Минцифрой способ диджитализации страны. Химич с сыном Алексеем за последний год провели несколько экспериментов, показывая возможные уязвимости проекта «Дия»: им удалось запустить приложение сразу на нескольких устройствах, получив таким образом несколько равнозначных копий своих цифровых документов (в Минцифры неоднократно опровергали результаты опыта), проверить культуру валидации цифровых документов офлайн (результаты оказались неутешительными) и пр.

Новые эксперименты, свидетелем которых стал журналист НВ Бизнес, показывают, что в руках злоумышленников приложение Дия может стать инструментов массовых злоупотреблений, уверен Роман Химич. В Минцифры говорят: эти эксперименты не стоят потраченного на них времени.

Майнинг персональных данных и фото

Первое из приложений, разработанных Романом и Алексеем Химичами, позволяет тайно собирать скриншоты СOVID-сертификатов и других документов с приложения при проверке сертификатов. Злоумышленник, например, охранник в ТРЦ, проверяя сертификат в Дие своим приложением, может тайно собирать фото (скриншоты) документов — того же СOVID-сертификата и, что важно, фотографии пользователя на «внутреннем» сертификате, а также другие данные, которые отображаются в приложении. Эти данные, говорят авторы эксперимента, можно накапливать в специальных базах и потом «отдавать в пользование» за вознаграждение: