Кредити через "Дію" і підпис Байдена під петицією до Зеленського. Як крадуть наші персональні дані

Помилки в цифрових сервісах можуть призвести до серйозних проблем / Фото: Дія, REUTERS/JRB

Стежити за звичайною людиною нині простіше нікуди. Всі ми залишаємо цифрові сліди, хочемо того чи ні. Ба більше, ми навіть не намагаємося захиститися від стеження. Наприклад, проходимо смішні тести на якихось сайтах – а вони можуть призвести до витоку персональних даних. Часом навіть таких, як пароль від банківської карти.

Як результат, може статися, що ви набрали кредитів через систему "Дія" або що ваш цифровий підпис стоїть під петицією, яку ви і в очі не бачили, йдеться в сюжеті "Сьогодні.Підсумки".

Ми дізналися про приклади серйозних помилок у системі цифрових підписів і на порталі "Дія" та зробили висновок: захиститися майже неможливо.

Деокупація півдня країни – як українські військові відвойовують території

Заборона на пересування країною для військовозобов'язаних – всі деталі

Ракетні удари по мирних українськиих містах - липень 2022

Ядерний тероризм Росії

"Байден" і петиція до Зеленського

Під однією з поданих президенту України Володимиру Зеленському петицій 17 червня виявився підпис... президента США Джо Байдена. Ця кумедна історія не така вже й смішна, якщо добре подумати. Адже тільки громадяни України мають право підписувати петиції. Навіть більше, система має упевнитися, що ви – реальна людина. А робить вона це або через систему "Дія", або за допомогою електронного цифрового підпису.

Тобто справа серйозна, і стосується вона всіх українців. Заступник голови Держслужби спецзв'язку та захисту інформації Олександр Потій підтвердив: Байден петицію точно не підписував. Але що ж це було?

"Була використана помилка в організаційно-технічному протоколі ідентифікації. І, як ми вважаємо, на стороні саме користувача – або він неправильно використовував і зберігав свої ключові дані, або була помилка, якою могли скористатися, щоб зробити заміну", – розповів Потій.

Тобто на президентському сайті петицій була можливість під час авторизації і перед самим моментом підписання змінити своє ім'я на інше. Хтось про це дізнався і в потрібний момент скористався, щоб скомпрометувати сам принцип електронних петицій.

У Держспецзв'язку нас запевнили, що помилку оперативно виправили і в майбутньому таке не повториться. Хочеться вірити, тому що наслідки можуть бути серйозні, попереджають експерти.

"Сьогодні це підпис під невинною петицією до президента України, а завтра може бути вже перепис квартири на когось або відкриття фірми-одноденки. Ніхто цього не знає, ніхто не може передбачити", – вважає експерт з електронного урядування Євген Поремчук.

Підроблені кредити через "Дію", якої немає

Людмила ще в березні постраждала від хакерів. Кіберзлочинці влаштували цілу серію замахів на її персональні дані. Спочатку жінка отримала на пошту повідомлення про зміну прив'язаного номера телефону і швидко змогла зупинити процес заміни. Але наступного дня їй почали телефонувати з мікрофінансових організацій з повідомленнями, що вона нібито хоче взяти кредити.

Потім з банку, в якому в Людмили зарплатна картка, надійшло повідомлення про швидку зміну фінансового номера телефону. А одна з мікрофінансових організацій повідомила, що гроші за кредит переведені на карту в іншому банку. Звичайно, ні кредиту, ні картки в зазначеному банку Людмила не мала. Справу вдалося закрити після спілкування з банком, і кредит списали. Але на цьому пригоди не закінчилися.

"Кредиту немає, сплю спокійно, і тут 24 квітня мені телефонує автовідповідач: "Якщо ви знаєте Людмилу, передайте їй, що вона взяла кредит і його не віддає". Сказали, що я оформила кредит, та ще й зробила це через "Дію", зі своїм електронним підписом. А в мене немає електронного підпису, немає "Дії", я ніколи туди не заходила", – розповіла Людмила.

Після цього жінці довелося доводити свою невинуватість. Спочатку потерпіла написала заяву в Національний банк. Там їй відповіли, що кредит оформлений законно. Потім Людмила звернулася до розробників мобільного застосунку "Дія". Там запевнили, що в них все сертифіковано та захищено. А видаляти акаунт відмовилися – мовляв, це неможливо.

Читайте також:

У застосунку "Дія" запустили тестування COVID-сертифікатів. Як приєднатися

Наступним кроком стала заява в поліцію. Але через кілька днів виявилося, що її не внесли до реєстру. Справу закрили, об'єднавши з кількома схожими. Заяву довелося писати ще раз. Уже після того, як історія Людмили набула розголосу, їй зателефонували з Міністерства цифрової трансформації і запевнили, що кредиту більше немає. Правда, жодних документальних свідчень не надали.

"Сьогодні" попросили главу Мінцифри пояснити, що сталося, але він не знайшов часу на відповідь. У пресслужбі відомства припустили, що шахраї викрали номер телефону Людмили, а потім отримали доступ до банківського акаунту. Правда, Людмила впевнена – її номер неможливо дублювати, адже він вже рік як прив'язаний до її паспорта.

Чи безпечна "Дія" та як захиститися

"Під час презентації цього проєкту першим пріоритетом були зручність і швидкість надання послуг, а також мінімізація ризиків, пов'язаних з корупцією. А ризик, пов'язаний з незаконним використанням персональних даних був у другому-третьому пріоритеті", – вважає адвокат Олександр Горобець.

Тим часом злочинців у кіберпросторі стає все більше. Як убезпечитися?

"Я – фахівець з кібербезпеки з 2000 року. І я не знаю, як убезпечитися. Єдине, чого ми можемо вимагати від уряду, – опублікувати детальне розслідування цих кейсів. Щоб чітко розповіли, як це сталося, що вони зробили, щоб цього не було в майбутньому", – сказав експерт з кібербезпеки Костянтин Корсун.

"Є така стаття в Цивільному кодексі, її мало хто знає – "Власні зобов'язання". Якщо особа володіє чимось, то насамперед вона зобов'язана убезпечити цю власність", – додав Горобець.

Просто кажучи, це класичний "порятунок потопельників" – ми самі мусимо захищати своє. Так говорить закон.

Нагадаємо, раніше ми розповідали, як шантажисти збирають дані українців за допомогою популярних додатків.