Експерти розкрили ризики нової послуги єДокумент

Фахівці з кібербезпеки вважають, що диверсанти можуть “клонувати” тимчасове є-посвідчення або видати себе за громадянина України, щоб безперешкодно пересуватися країною, минаючи блокпости.

11 березня ДП “Дія” запустило нову послугу під назвою “єДокумент”. Подробиці розробники повідомили на офіційній сторінці у Facebook. Проте експерти у сфері кібербезпеки побоюються, що сервіс може зіграти на руку диверсантам.

“єДокумент” — тимчасове цифрове посвідчення особи, яке українцям пропонують використовувати у воєнний час. Щоб отримати доступ до послуги, користувачам необхідно оновити програму “Дія”, і документ підтягнеться автоматично — самостійно його генерувати, подібно до COVID-сертифікату, не потрібно.

Як пояснили в ДП “Дія”, дані громадян під час авторизації підтягуватимуться не з реєстрів, оскільки вони зараз закриті, а з BankID або ID-карти за допомогою NFC.

Журналісти Фокусу спробували авторизуватися через BankID. Для цього запустили програму, вибрали спосіб авторизації через BankID Монобанку. У підсумку програма відобразила ПІБ, дату народження, ідентифікаційний номер (РНОКПП), але фотографію — ні. Тож звернулися до експерта з кібербезпеки (джерело побажало зберегти анонімність), щоб він роз’яснив, чи може в такому разі єДокумент вважатися повноцінним документом, що засвідчує особу?

“Функціонально — це аналог пропуску, написаного від руки. Він нічого не може засвідчити, його неможливо перевірити, оскільки BankID не передбачає наявність фотографії”, — відповів фахівець.

Як пояснив фахівець, дані з BankID підтягнув державний портал “Дія” через інтернет, а потім зашифровував у вигляді QR-коду і запевнив своїм цифровим підписом. Цей QR-код — статичний, і для його перевірки не потрібне підключення до інтернету, тобто представляти його можна на будь-якому блокпосту за допомогою програми “Дія”, навіть якщо не буде мобільного інтернету, пояснив експерт.

Тож диверсанти зможуть видавати себе за громадян України, авторизувавшись через BankID. “Для людей, які намагаються приховати свою особу — це ідеальний інструмент. Досить знайти BankID людини тієї самої статі і приблизно того ж віку, і видавати себе за неї. У перевіряльника немає способу ідентифікувати особу”, — сказав експерт.

Фахівець вважає, що краще пред’являти справжній паспорт, ID-картку чи закордонний паспорт. А якщо всі документи втрачені, то він рекомендує відновити через ЦНАПи.

“На підконтрольних територіях діють авторизовані державні ЦНАПи, є можливість прийти туди, щоб співробітники запевнили і встановили, що ви — це ви, порівнявши ваше обличчя з вашою фотографією. За такою ж ідентифікацією, гадаю, можна звернутися і в ПриватБанк, і інші великі банки, адже в них є фотографії клієнтів”, — підсумувало джерело.