Спикер киберальянса раскритиковал реализацию проекта "Дія"
На своей странице в Facebook спикер Киберальянса жестко прошелся по конструктивным и идеологическим недостаткам сервиса "Дія":
Давайте я сначала скажу про жижитализаторов что-нибудь хорошее, чтобы потом не говорили, что я неконструктивно злобствую, а потом посмотрим поближе, что у них "Дие". Абсолютно не секрет, что в государственных реестрах - бардак и проходной двор, и минцифры озадачились тем, чтобы провести сверку реестров. Кто те люди, которые получили доступ одновременно в несколько реестров и как они это делают никому неведомо, но затея в принципе хорошая.
Только выводы из результатов странные.
Вместо того, чтобы тут же начать служебную проверку МВД и строго наказать виновных в том, что треть записей оказалась коррупционно-раздолбайским мусором, данные зачем-то актуализируют сами пользователи. Чтобы МВД было удобнее там рыться.
Чтобы не повышать доверие граждан к анонизирующему МВД, всё сделано с точностью до наоборот, снижается ответственность за нарушения в ведении реестров и повышается доверие ментов к данным за счет пользователей. Способы ведение реестров и контроля доступа к ним не изменились, просто появились дополнительные точки входа (Дия и Трембита).
Что из себя представляет приложение?
Нет никакого чудо-приложения. Есть сайт diia[.]app, а приложение от него не более чем ярлык от сайта на рабочем столе. Можно было бы обойтись и сайтом и убрать риск supply chain атаки, когда вам вместо обновления "Дии" приедет подарочек "из России с любовью". Как было с Медком и Непетей.
В данный момент на сайте, сильно упрощая, четыре страницы - аутентификация через BankID, паспорт и ЭЦП (как работают последние два способа, кто для них писал софт и что делать с миллионами подписей Приватбанка выданных удаленно без личного присутствия - никто не знает, не барское это дело техническую документацию публиковать). И собственно страницы документов.
BankID использует OAuth2. И вместо того, чтобы "Дия" передавала в банк данные и спрашивала, ы? А банк скромно кивал или мотал электронной головой, или пусть бы передавал, но только те данные, что уже есть в Дие, но нет, банк передает в Дию данные, включая и те, которых у минцифры не было - почта, телефон, актуальный почтовый адрес. Что неправильно, но просто меркнет на фоне полной отмены банковской тайны.
Сами банки при этом использовать удаленную аутентификацию для открытия счетов не торопятся, не смотря на разрешение НБУ. Риски велики. Для открытия пустого дебетого счета слишком опасно, а для документов, удостоверяющих личность - всё в порядке, заебок. (Сарказм) Потом система зациклится - банки начнут принимать Дию и использовать её в качестве источника данных, Дия будет полагаться на данные банков. Чувствуете всю мощь порочного круга? Всё это приведёт к уничтожению понятия "юридически значимый документ" и полному размыванию ответственности.
Естественно, если украсть ЭЦП (их по-прежнему записывают на флешки и в папку "Downloads") или доступ к банку (что отнюдь не редкость, деньги со счетов воруют регулярно), или сразу утащить OAuth-токен из приложения, то можно открыть кучу сессий на украденные паспорта и подбирать их себе по вкусу и сходству собственной морды с украденной. Контролировать активные сессии (как в Фейсбуке или Телеге), отменять их или даже просто запретить диевым рыться в ваших данных вы не можете. Не opt-in, не opt-out, а opt-нахуй пошел, вас тут не стояло.
Если вам нужно показать паспорт проводнику (зачем это делать я, хоть убей, не понимаю, давно пора отменить паспортный контроль на железной дороге), то приложение с токеном обращается к сайту и тот генерирует еще один токен, на этот раз временный (три минуты) и отдаёт QR-код со ссылкой вот такого вида:
https://diia.app/…/ver…/dfac12ab-5678-abcd-ac93-1db0139f677c
(спасибо Юрию Рудому, он не поленился написать о "Дии" в своём блоге. Самой минцифре не нужно, чтобы вы копались в их любимой говнишечке и документацию они публиковать не хотят, а может, учитывая спешку, никакой документации не было и нет.
У вас нет никакого документа в телефоне, гарант в лице сайта просто подтверждает, да, такой документ где-то существует. Делать скриншоты запрещено, никакой юридической силы картинка не имеет. И если вы захотите, как-то зафиксировать факт предъявления цифровой "ксерокопии" документа, то вам нужно послать код со своего телефона, на телефон проверяющего, а потом сфотографировать процесс третьим телефоном или переписать данные с экрана в журнал. Что тоже не имеет никаких юридических последствий, и не гарантирует что у вас действительно есть физический, некопируемый, уникальный документ, а не украденный у соседа токен. А как ехидно заметил Олексий Панич, изъятие ксерокопии прав - цирк, на который интересно было бы посмотреть.
Лиха беда начало. Безумцы не останавливаются и собираются диджитализироваться дальше. Даже, если представить, что сайт полностью надежен и безопасен (я знаю, сложно такое представить, но всё же попытайтесь, а те кто крикнул zero day и "Ликуд", заткнитесь). Вся затея открывает доступ (непонятно кому) к колоссальному объему верифицированных и связанных между собой данных.
Огромный простор для злоупотреблений и манипуляций. Подход к архитектуре смешанный и бумажный (ксерокопия, как и всякий something-you-have уходит вместе с владельцем телефона, и факт предъявления документа трудно зафиксировать) и электронный, и реестровый и документальный.
Всё это никак не вписано в существующие процессы документооборота и по мере добавления очередных "е-хуяток", 341 реестра и прочих ценных государственных "услуг", породит никем доселе невиданный бардак, кражу личных данных и автоматизированное мошенничество.
Никто толком не знает и не может объяснить как и главное зачем всё это работает, никто не несёт ответственности. Осталось еще провести наевыборы на блокчейне и цифровой хаос тут же перейдёт в уличные бои. Как очень точно заметил Владимир Стыран: угроза "Дии" в том, что она вобще существует, увеличивая поверхность атаки и пряча за смартфонным гламуром полную институциональную несостоятельность.