Група експертів з питань кібербезпеки, досліджувачів, IT-спеціалістів підготували 17 сторінковий документ з недоліками додатку Дія.
Експерт з кібербезпеки Костянтин Корсун, презентуючи спільні з колегами напрацювання, зазначив:
«Нарешті ми з колегами раді презентувати майже повне зібрання усіх головних недоліків додатку Дія: https://cutt.ly/2OR77bF
Мова йде саме про додаток, не про веб-портал. Але не слід забувати, що і додаток Дія, і портал Дія є частинами однієї системи.
У різні часи різні люди в запитували різних фахівців у коментах до різних дописів: «так а шо не так з Дією?». Ми намагалися пояснити, інколи успішно.
Але з огляду на стрімко зростаючу актуальність цієї проблематики, ми вирішили зібрати всі питання-відповіді докупи в одному місці. Зробити такий собі путівник по проблемам Дії, щось на кшталт довідника або глосарія.
Як фахівці та експерти з великим досвідом у різних галузях ІТ та кібербезпеки ми можемо розказати значно більше, ніж у цьому документі. Але навіть досить лаконічна версія вийшла доволі об'ємною, тому задля спрощення сприйняття ми винесли у заголовок лише короткі тези, а хто зацікавиться поясненнями – можна почитати, натиснувши «Детальніше».
22 тези про Дію:
1. Суттєві дефекти архітектури додатку Дія.
2. Обробка та зберігання персональних даних у додатку Дія.
3. Можливість перехоплення та накопичення персональних даних під час перевірки е-документів у додатку Дія.
4. Можливі шахрайства з використанням Дії.
5. Можливість слідкувати за користувачами через додаток Дія.
6. Ризики дистанційного несанкціонованого проникнення до смартфону (“зламу”) зі встановленим додатком Дія.
7. Неможливість самостійно заблокувати свій акаунт в Дії (опція Opt-Out)
8. Ризики фальсифікації «виборів у смартфоні» з використанням додатку Дія.
9. Ризики «повістки через Дію».
10. Ризики відсутності доступу до Інтернет додатку Дія.
11. Не всі громадяни мають можливість користуватися додатком Дія.
12. Надмірна централізація системи та агрегація повноважень.
13. Відсутність правил користування додатком та механізму контролю за дотриманням цих правил.
14. Ігнорування чинного законодавчого регулювання зі створення програмних продуктів.
15. Створення штучної монополії додатку Дія.
16. Відсутність у публічному доступі документації на додаток Дія.
17. Відсутність публічного доступу до вихідного коду додатку Дія.
18. Відсутність інформації про зовнішні незалежні аудити безпеки додатку Дія.
19. Сумнівність об’єктивності проведення державної експертизи додатку Дія.
20. Незадовільний рівень комунікації розробників додатку Дія з користувачами та ІТ-фахівцями.
21. Можливість необмеженого клонування документів у додатку Дія.
22. Непрозорість порядку використовувати додаток Дія іншими організаціями.
Детальніше за посиланням https://cutt.ly/2OR77bF
Разом з тим, Міністерство цифрової трансформації повідомило, що в липні 2021 року вони запустили Bug Bounty копії застосунку Дія з призовим фондом 1 млн грн. За пів року тестування вразливостей, які б впливали на безпеку застосунку, так і не знайшли.
«На сьогодні Дія — найбезпечніший продукт в Україні. Ми постійно це перевіряємо та підтверджуємо, оскільки захист та безпека користувачів — наш топ-пріоритет. Ми вдруге провели Bug Bounty застосунку, і вдруге хакерам не вдалося знайти жодних критичних вразливостей. Система захисту оновлюється згідно нових викликів», — зазначив Віцепрем’єр-міністр — Міністр цифрової трансформації Михайло Федоров.