Часи «кредитів через Дію», коли шахраї оформлювали на жертву кредити без її відома, повертаються – Костянтин Корсун

Про це написав один з найвідоміших в Україні експертів з кібербезпеки Костянтин Корсун. Він пояснює цю помилку на прикладі Вікторії (Sasha Aleksandrova), через "Дію" якої шахраї набрали кредити в одному сумновідомому угорському банку. Шахраї створили їй акаунт у цьому банку і через нього авторизувалися у "Дії". А далі вже почали швидко подавати заявки на інші кредити.

"Пані одразу звернулася до техпідтримки Дії (ага, у Телеграмі, а де ж ще?). Спочатку їй порадили видалити «лівий» пристрій. Але він чомусь не видалявся. Тим часом кількість кредитів стрімко зростала. А техпідтримка Дії тим часом повністю відморозилася. Проблеми індіанців вождя не колишуть. Не знаю, чи вирішилася вже проблема пані Вікторії, але для більшості попередніх жертв (про кілька подібних випадків я писав у 2021-2022 роках) – все завершилося погано. Крім самої першої, «іміджевої» жертви, коли зусиллями особисто Федорова, Кіберполіції та СБУ ситуацію було вирішено «вручну». А сьогодні сталося насправді те, про що ми з колегами писали ще на початку лютого 2022 року: реалізувався головний дефект архітектури Дії «розмежування інструментів ідентифікації за рівнями довіри». Це – коли ти свою відповідальність перекладаєш на іншого, простіше кажучи.

Державний сервіс електронних документів повинен був мати власну систему ідентифікації – супер-надійну, супер-безпечну, з найвищим ступенем довіри. Замість цього жижиталізатори переклали відповідальність за ідентифікацію громадян – на банківську систему з її власною системою ідентифікації. Яка непогана, але нижчого рівня, з меншим ступенем довіри. Тому що банки, у разі чого, ризикують лише власними грошима, а фінансові ризики були закладені при побудові системи й покриваються з передбачених для таких випадків фондів. Забезпечення реалізації функцій офіційної державної ідентифікації у цю систему не закладалося, як і відповідних ризиків зловживань та витоку персональних даних. А це вже не матеріальні інтереси, а національні, національної безпеки, які банки не могли і не повинні були закладати та упереджувати.

Як на мене, Дію треба просто заборонити – на час перевірки незалежною міжнародною комісією ступеня її небезпечності для суспільства. Якщо ти дозволив хлопчикам погратися з небезпечними іграшками – май мужність якнайшвидше визнати свою помилку, щоб вона не призвела до ще більш руйнівних наслідків. Якщо злочинці змогли зайти в Дію жертви через один банк, зможуть і через інші. Тому що помилковий принцип залишається незмінним. І ліві кредити можуть тепер виявитися у багатьох громадян", – написав Костянтин Корсун.

Нагадаємо, у січні 2022 року ми писали, як за допомогою "Дії" на людину було оформлено купу кредитів.

У 2021 році ми писали що розробників «Дії» із Мінцифри запідозрили у співпраці з росіянами: оминути ФСБ нема жодних шансів.

А американське видання "USA Today" з посиланням на судові документи писало про злам російськими хакерами ГРУ порталу ДІЯ у січні 2022 року і викрадення даних 13,5 мільйонів користувачів.