Приложение "Дія" - документы в смартфоне

Очередные новости.

У этого сообщения Шона получилось интересное продолжение.
Обычно у него 50-100 комментов под постом в FB. Комменты в основном от IT-шников. Ну типа своя тусовка.
Под этим постом сообщений сразу стало 500-1000. Тема то интересная. Народ качал семплы. Анализировали свежесть и правдивость данных.
Охал от той жопы, в которую мы все попали.
Потом под пост пришла ботоферма и набила пару тысяч однотипных постов. Я такого еще не видел.
Тренд постов.
Это все фейк.Дия ничего не хранит.
Это запоребрик раскачивает ситуацию.
Это происки Порошенко

Результат Шона забанили.
Полезная инфа потонула в море говна.

В новостях я не вижу хоть каких-то сообщений, которые отражают хоть как-то уровень происходящего п-ца.
Официальные лица отмораживаются. Это не мы. Это фейк. Это компиляция из старых баз.
Я так понимаю никто за это ответственности не понесет и все спустят на тормозах. Цель провести е-выборы любой ценой.

Что делать нам, простым людям?
Наверное сделать уже ничего нельзя. Данные то уже утекли. В каком объёме не очень понятно. Только по тем людям, кто ходил через портал(я слава богу пока обхожусь без Дії), или через эту дырку уже все реестры давно потекли.
Единственная вменяемая рекомендация, которую я видел в комментах, это перегенерировать новый ключ ЭЦП и отозвать сертификат у старого.На всякий случай.

Интересно услышать наших одноклубных сторонников. Это же диджитализация, а все остальное ... ну украли, это дело спецслужб или вовсе фейк. А так же ж полезнейшая вещь - государство в кармане! Никто до бубочки этого не делал.

И наверное точно не сделал бы так, как именно это было сделано.

По крайней мере я лично вижу такую спешку в осуществлении диджитализации зеленым правительством именно в будущих выборах на второй срок. Остальное прилагательное, попутное: все эти удобства, сервисы и т.д.

Я уже молчу о том, что министерства и структуры цифровизации были созданы еще при Порохе и "ДІЯ" тоже начинала разрабатываться при нем же. Только зная как у нас вообще проходит любая компьютаризация и обращение с базами данных, делалось это аккуратно, медленно и вроде как бы как вовсе не делалось ... ну конечно, при Порохе ведь ничего такого не делалось, верно? Только Гонтарева обокрала 90 банков с вкладчиками и все торговали на крови, выпуская при этом конфеты в Липецке и пряча прибыли в офшорах, не давая продавать ворота и выдвигаться в важные гос-власть-контрольно-структурные организации людям "с низов" ...

А вот пришел новый, молодой, энергичный НЕ БАРЫГА и все так поменялось сразу же!..

Ау, одноклубники, теперь замолчавшие почему-то, всё норм в стране? Без барыги ваще классно и хуже не стало ни в чем - ни в чем ни на чуточек?

Только что по Г+Г посвятили минут 5-10 загонянию граждан в приложение дія за 1000 грн плательщиков налогов
Кто оплачивает все это эфирное/рекламное время?

BIS писал(а):Единственная вменяемая рекомендация, которую я видел в комментах, это перегенерировать новый ключ ЭЦП и отозвать сертификат у старого.На всякий случай.

Я думаю большинство не включали и не генерировали цифровую подпись в приложении. И ставили приложение только для отображения ковидных сертификатов. Документы, которые были выданы до введения электронных баз данных (2013 г) , в Дии по умолчанию не отображаются. Т.е. по умолчанию там только налоговый код. Ну и потом добавляется ковидный сертификат.

Voyager писал(а):Я думаю большинство не включали и не генерировали цифровую подпись в приложении. И ставили приложение только для отображения ковидных сертификатов. Документы, которые были выданы до введения электронных баз данных (2013 г) , в Дии по умолчанию не отображаются. Т.е. по умолчанию там только налоговый код. Ну и потом добавляется ковидный сертификат.

Я туда не ходил. Потому утверждать ничего не буду. Но с учетом количества хакнутых государственных сайтов...
Если ходил на какой-то из них, и при этом скармливал на для логина свой ключ ЭЦП + пароль, то есть вероятность что это потекло.
Я, например , ходил на сайт налоговой в личный кабинет.
Если ходил на какие-то голосовалки/петиции, то IMHO лишним не будет.
После генерации нового ключа ЭЦП старый нужно отозвать. В Привате это можно сделать по ссылке https://acsk.privatbank.ua/revoke-page

BIS писал(а): Но с учетом количества хакнутых государственных сайтов...
Если ходил на какой-то из них, и при этом скармливал на для логина свой ключ ЭЦП + пароль, то есть вероятность что это потекло.

Вот там может быть действительно проблема. На тех порталах уже есть реальная база данных.

Voyager писал(а):Вот там может быть действительно проблема. На тех порталах уже есть реальная база данных.

Мы не знаем насколько долго хакеры тусовались на сайте дії и какого уровня они получили доступ.Имеет ли дія базы? Думаю да. И про то что баз нету это вранье.
Должны логироваться входы/запросы/прочая активность пользователей. Должны где-то храниться/кешироваться промежуточные данные.
Сделал запрос -> обращение в реестр через api -> получение ответа -> отправка пользователю.
Насколько я помню из сообщений, то получение сертификата было через какое-то время, после запроса. Все это время какие-то промежуточные данные должны где-то храниться.
Мы не знаем как реализован интерфейс к реестрам в дії и какие-там дырки. Хорошо, если каждое обращение в реестр подписывается подписью запрашивающего. Но что-то мне слабо верится в такую реализацию. Документацию на дію скрывают.А если для доступа в реестр достаточно запустить какой-то скрипт и скормить ему IHH? Типа настроили trusted connection
Так вот хакеры могут спереть базу. По сути какой-нибудь бекап базы со всем что там есть. Или при наличии времени/знаний могут организовать выборку данных из реестров через api. Тогда у них будут данные по всем, кто даже обходит дію стороной.
Дія - это единое место с доступом ко всему. Это архитектурно заложенное понижение безопасности данных.

BIS писал(а):Дія - это единое место с доступом ко всему.

Ну пока только к тем данным которые есть в электронных реестрах.
А так конечно все может быть как ты описал.