Майнінг персональних даних. Активісти знайшли кілька способів використовувати Дію не за призначенням

Журналіст НВ Бізнес став свідком двох нових експериментів із державним застосунком та зібрав аргументи сторін.

«Мобільний застосунок Дія, точніше електронні паспорти та інші електронні документи, створені Мінцифрою, мають кілька суттєвих вад на рівні архітектури, через що стають можливими різні зловживання з цифровою ідентичністю», — каже телеком-експерт Роман Хіміч. Він неодноразово критикував як саму програму, так і обраний Мінцифрою спосіб диджиталізації країни. Хіміч із сином Олексієм за останній рік провели кілька експериментів, показуючи можливі вразливості проєкту Дія: їм вдалося запустити програму відразу на декількох пристроях, отримавши у такий спосіб кілька рівнозначних копій своїх цифрових документів (у Мінцифри неодноразово спростовували результати досліду), перевірити культуру валідації цифрових документів офлайн (результати виявилися невтішними) та ін.

Нові експерименти, свідком яких став журналіст НВ Бізнес, показують, що в руках зловмисників програма Дія може стати інструментом масових зловживань, упевнений Роман Хіміч. У Мінцифри кажуть: ці експерименти не варті витраченого на них часу.

Майнінг персональних даних та фото

Перший із застосунків, розроблених Романом та Олексієм Хімічами, дозволяє таємно збирати скріншоти СOVID-сертифікатів та інших документів із програми під час перевірки сертифікатів. Зловмисник, наприклад, охоронець у ТРЦ, перевіряючи сертифікат у Дії своїм застосунком, може таємно збирати фото (скріншоти) документів — того ж СOVID-сертифіката і, що важливо, фотографії користувача на «внутрішньому» сертифікаті, а також інші дані, що відображаються в програмі. Ці дані, кажуть автори експерименту, можна накопичувати у спеціальних базах і потім «віддавати в користування» за винагороду: