Приложение "Дія" - документы в смартфоне

Еще чтиво про жижитализацию. На этот раз про котиков

https://m.facebook.com/story.php?story_fbid=1818978748287218&id=100005253309366

У киянки Alex Komisar вкрали телефон зі встановленою Дією та спустошили її банківські картки, а також намагалися оформити кредити у щонайменше 5 кредитних організаціях, останній – на 17 тисяч гривень («заявку схвалено»). https://cutt.ly/ET5tpeR
Дія та МЦТ заявили, що кредитні організації - відключені від Дії, тому взяти через них кредит – начебто неможливо.
Але справа у тому, що у Дії сконцентровані усі дані про особу: її податковий номер, дата народження, дані паспорту, інші документи, включно з ковід-сертифікатами. І таких даних, як виявилося, цілком достатньо щоб оформити кредити. Підтвердження заявки на кредити злодії проводили через електронну пошту на викраденому смартфоні.
На жаль, шахраї не беруть до уваги заяви Федорова про «неможливість взяти кредит на електронні документи без відома громадянина» і кредити все ж беруть. Нехай і не напряму через Дію, але з її допомогою.

А сколько кредитов оформлено по украденным обычным паспортам? А сколько бумажных денег украдено в кошельках? Смотрю Комарова, он в племени ваорани был, бегают по джунглям без трусов, кушают из одного котла пережеванную предварительно всем племенем пюрешку, Дия не нужна, паспорт не нужен, даже деньги не нужны, попробуй такого ограбить! Вот где сказка, а не жизнь! Если серьезно, быть потерпевшим не охота, но нужно понимать, что с новыми возможностями и новые риски появляются

mutexx писал(а):с новыми возможностями и новые риски появляются

Тут проблема в масштабе рисков. Если украли банковскую карту, то риск только в пределах суммы на карте и кредитном лимите. Карту можно оперативно позвонить и заблокировать. Есть соответствующие механизмы и протоколы. Куда обращаться, кто и что должен делать в таком случае.
Вопрос как заблокировать дію? Механизма нету. На эту женщину могут повесить бесконечное множество кредитов в куче микрофинансовых организаций с дичайшими процентами. Эта женщина будет долго доказывать коллекторам, что кредиты брала не она а ее телефон. И узнает про эти кредиты она уже постфактум, когда придут за долгами.
А что будет, когда в дію подвяжут реестры недвижимости и сделки по недвижимости? И главное доказать что вот эта цифровая подпись настоящая, а эта поддельная не сможет ни один эксперт. Пример с подписью Кернеса. Документы, которые он подписывал/не подписывал, когда был живой/ не живой в клинике.
У кого из нас сейчас стоят пароли на симке в телефоне/пароли на телефон/пароли уникальны для разных сайтов и сервисов? При краже телефона симка вставляется в другой телефон. Дальше меняются пароли для почты/банков и проч. С bankID можно зайти в дію.
Слишком большая концентрация критической информации в одном месте.
А еще есть риски чисто хакерские, когда хакнут один из центров сертификации ключей и будут генерить нужные ключи для "типа идентифицированной персоны". Тогда будет вообще опа с этой всей системой с изначально неправильно заложенной архитектурой. А вопрос не в том случится ли это, а когда. Потому как рано или поздно все хакают.

mutexx писал(а):А сколько кредитов оформлено по украденным обычным паспортам? А сколько бумажных денег украдено в кошельках?

Тут ответственность на владельце и скорости реакции. А с ДИЕЙ человек не может принимать решения-он в заложниках.
Но цель конечная сегодня ясно прозвучала в стенах ВР-

Президент розповів, що влада планує провести електронний перепис населення, який згодом приведе до електронного голосування. Джерело: https://censor.net/ua/n3302683

STORM писал(а):

mutexx писал(а):А сколько кредитов оформлено по украденным обычным паспортам? А сколько бумажных денег украдено в кошельках?

Тут ответственность на владельце и скорости реакции. А с ДИЕЙ человек не может принимать решения-он в заложниках.

чем отличается потеря бумажного паспорта от потери электронного? Блокируйте бумажный паспорт, электронный блокируется в ту же секунду, нет? Хотя не спорю, процедура блокировки Дии тоже должна быть предусмотрена, скорее всего через личный визит в полицию, написали заявление о краже смартфона - тут же мгновенно блокируется Дия

mutexx писал(а):чем отличается потеря бумажного паспорта от потери электронного? Блокируйте бумажный паспорт, электронный блокируется в ту же секунду, нет? Хотя не спорю, процедура блокировки Дии тоже должна быть предусмотрена, скорее всего через личный визит в полицию, написали заявление о краже смартфона - тут же мгновенно блокируется Дия

Принципиальное отличие настоящего паспорта и какого-то приложения на каком-то устройстве, это невозможность самостоятельно изготовить копию документа, имеющего кучу степеней защиты. Кроме того изготовление такой копии уголовно наказуемо. Документ выдается компетентными органами персонально. Когда понятие настоящего документа для идентификации личности подменяется картинками в смартфоне, для получения которых не нужно персонально посещать компетентные органы, то само понятие идентификации персоны компроментируется.

BIS писал(а):Принципиальное отличие настоящего паспорта и какого-то приложения на каком-то устройстве, это невозможность самостоятельно изготовить копию документа, имеющего кучу степеней защиты. Кроме того изготовление такой копии уголовно наказуемо. Документ выдается компетентными органами персонально. Когда понятие настоящего документа для идентификации личности подменяется картинками в смартфоне, для получения которых не нужно персонально посещать компетентные органы, то само понятие идентификации персоны компроментируется.

ок. Как быть с ксерокопиями бумажного паспорта, по которым тоже были неоднократные случаи получения кредитов, оформление недвижимости и т.д. Ксероксы не компрометировали понятие "настоящего документа" и идентификации персоны в целом? Дия это просто "ксерокопия" паспорта, но в электронном виде, наличие Дии не отменяет необходимость "персонально посещать компетентные органы" для получения "настоящего документа". При этом заблокировать удаленно ксерокопию не получится, блокировать Дию - элементарно! Почему эту возможность не сделали до сих пор - провтык, думаю после пару громких скандалов такая возможность появится.

mutexx писал(а):ок. Как быть с ксерокопиями бумажного паспорта, по которым тоже были неоднократные случаи получения кредитов, оформление недвижимости и т.д. Ксероксы не компрометировали понятие "настоящего документа" и идентификации персоны в целом? Дия это просто "ксерокопия" паспорта, но в электронном виде, наличие Дии не отменяет необходимость "персонально посещать компетентные органы" для получения "настоящего документа".

С учетом того сколько ксерокопий гуляет после каждого обменника и кучи других заведений... Если какая-то организация выдает кредиты под ксерокопии, то даже не знаю как такой бизнес назвать.
IMHO идентификация личности по ксерокопии документа это бред. Выдача кредита по ксерокопии уголовное преступление. Если ты приравниваешь Дію к ксерокопии, то продолжи логическую цепочку

mutexx писал(а):При этом заблокировать удаленно ксерокопию не получится, блокировать Дию - элементарно! Почему эту возможность не сделали до сих пор - провтык, думаю после пару громких скандалов такая возможность появится.

Где-то под постами критиков Дії встречал, что дієвим уже не раз указывали, что должна быть возможность заблокировать какие-либо операции через этот портал. Если в этом прожекте проводился бы хоть какой-то аудит безопасности и оценки рисков, то такая возможность должна была быть прописана в архитектуре. Меня лично очень сильно напрягает, что мою электронную подпись, для банковского счета и подачи отчетности приравняли к моей подписи у нотариуса. Так в одно утро можно проснуться бомжом под забором

Кстати вот до сегодняшнего дня ленился поставить пин код на симку. Сегодня поставил

Насколько я понимаю, если вы пишите заявление в полицию что у вас украли смартфон с Дией, оспорить кредит выданный по Дие после этой даты будет гораздо проще. Вообще у Дии 10млн+ установок только в Play Маркет, случаи когда этим приложением якобы воспользовались в злонамеренных целях единичные.
ЗЫ. В приват24 захожу по паролю в 12 символов из букв и цифр, который ни где не записан, отпечатку пальцев не доверяю, т.к. палец можно приложить к сканеру и в моем бессознательном состоянии Пароль на сим не снимался никогда.

Из комментов под тем постом.


Если мужик из поста пойдет утром писать заявление, то уже боржоми будет поздно пить.
То что у Дії много скачиваний говорит как раз о масштабе проблемы. Если систему хакнут, а её обязательно хакнут рано или поздно, то ущерб будет катастрофическим.

Лично на себе ощущал "побочку" от лежащих в открытом доступе персональных данных.Свои персональные данные стараюсь ни по каким базам не сливать на всякие анкетки с дисконтными карточками. Но по ФОП в открытом доступе лежат телефоны, адреса и проч. В один прекрасный момент ко мне позвонили из Идея банка. Вы являетесь "контактною особою" у такой-то, которая не возвращает кредит. Я сказал что я такой не знаю. Они мне звонили периодически и голосом и звонилками. Звонки были не сильно интенсивными. Относился к ним с юмором. Потом Идея банк продал этот протухший кредит коллекторам и они начали вызванивать, то одна лавочка, то другая. Но в этом случае использовался только мой номер телефона. Даже имя не совпадало.
Один звонок был по такой же теме с моими полными данными. Но оттуда больше звонков не было.
А с месяц назад был вообще вопиющий случай с женой. Я был не дома. Звонит жена. Типа мне только что звонили про то что я "контактна особа" и чего-то говорили про адрес в двухэтажке, где мы продали квартиру лет 15 назад. Кто-то пробил по старой базе налоговой, или какого-нибудь БТИ, или нотариусов. Каких соседей нашли, тех и назначили "контактною особою". Через пол часа звонит в истерике. У меня тут звонок за звонком. Поднимаю трубку, а там звуки ужасные. Что с этим делать? Пока говорили по телефону с пол часа у нее засветились три десятка номеров. Села поблокировала этот пул номеров и на том история закончилась. Но сам факт такой "атаки" возмущает.

А в Дії скоцентрировано будет в одном месте вся инфа про человека. Человека можно будет сделать бомжом в мгновение ока.

BIS писал(а):А в Дії скоцентрировано будет в одном месте вся инфа про человека. Человека можно будет сделать бомжом в мгновение ока.

Ну если там 10млн чел то большая вероятность, что есть люди поинтересней чем мы, ну по крайней мере чем я, чтобы делать бомжами. Пока до нас очередь дойдет, систему положат, останутся только бумажные документы

mutexx писал(а): Пока до нас очередь дойдет

Это зависит от масштаба катастрофы. Как пример вирус неПетя. Какой смысл был в этом вирусе? Нанести как можно больший ущерб.
При доступе к реестрам и возможности навредить остановит ли совесть и мораль соседей из-за поребрика?

Когда заходишь на сайт налоговой, скармливаешь скрипту свою электронную подпись и пароль. В теории он секретный ключ плюс пароль держит в памяти и какую-то производную функцию сверяет с каким-то сертификатом(открытой частью ключа) из центра сертификации ключей. Если все хорошо, то пускает в личный кабинет налоговой. Что на самом деле делает этот скрипт с ключом и паролем мы не знаем. Может он складирует его в какую-то базу, отсылает куда-то. Если сайт хакнут и подменят оригинальный скрипт. Сколько ключей ФОП-ов и проч можно будет насобирать за непродолжительный период времени? Такие же механизмы есть на других сайтах( петиции, голосовалки за бюджетные проекты и проч).
Кто даст гарантию что ни один из этих сайтов не собрал уже коллекцию ключей ЕЦП и паролей? Пока этим ключом можно было подписать только платежку и отчет в налоговую я был спокоен. А вот если с помощью него можно подписать любой документ, в том числе и кредитный договор, и договор купли-продажи, то это уже совсем другие кренделя. Вот почему народ, который понимает весь ужас ситуации вопит во все горло.

Сегодня похоже хакнули кучку государственных сайтов. В том числе и портал дії лежит...
Интересно какой масштаб бедствия?
https://www.facebook.com/ruheight/posts/1355230144925340