15-річний хлопець із Миколаєва на платформі для мобільних додатків створив застосунок, який додавав фотографії з фейковими документами та несправжніми датами народження, ковід-сертифікатами та можливістю згенерувати QR-код, який однак не підтверджувався при його валідації. Як зазначається в офіційному повідомленні нацполіції у Миколаївській області, хлопець продавав додаток через месенджер за 250-650 гривень, ціна залежала від того, наскільки багато можна змінити у купленому додатку. За оперативними даними, наразі застосунок придбало близько 30 людей, яких поліція вже розшукує.
Хлопець зробив додаток, в якому показується відфотошоплена копія документів, у яку можна додати будь-яку потрібну інформацію, фотографію, а також QR-код. Згенерувати підроблений QR-код нескладно, пояснила у коментарі Тижню IT-аналітикиня та доцентка Школи журналістики та комунікацій УКУ Надія Баловсяк. На думку фахівчині, фейкова “Дія” схожа і з попередніми спробами підробити документи і створювалась за аналогічною схемою, тільки робили це люди з різним рівнем підготовки. Однак назвати підробку ідентичним “Дії” застосунком не можна, адже “Дія” підтягує інформацію з реєстрів, а фейк лише показує фейкову картинку.
За кордоном практика підтвердження документів передбачає, що у користувача додатку є ще й паперова копія QR-коду. Наприклад, додаток від Євросоюзу CovidCheck може перевірити, чи є, у людини сертифікат про вакцинацію, негативний ПЛР-тест або документ про те, що користувач нещодавно вилікувався від коронавірусу. Користуватись ним можуть і громадяни країн, що не є членами ЄС, у тому числі й з України. “Мені додаток показав, що мій сертифікат валідний, однак також було важливе уточнення – підтвердження валідності діє лише із оригіналом документів”, – зазначає Надія Баловсяк. Це потрібно для того, щоб підтвердити особу фактично, а не зображенням у смартфоні.
Таким чином в Україні простіше скористатись підробними електронними документами якщо не в пунктах пропуску на кордоні, то хоча б у місцях, де документи не так часто верифікують через сканування QR-коду як от магазини чи інші громадські місця, де вимагають пред’явити сертифікат про вакцинацію. Натомість для того, аби підробити інформацію в документах не обов’язково заватнажувати фейкову “Дію” – можна скористатись “багом” справжньої. Про це відповідний пост у Твіттері зробив нещодавно спікер “Кіберальянсу” Шон Таунсенд. Йому вдалось змінити дату народження у сертифікаті про вакцинацію на 17 листопада 1917 року.
The bug in the ukrainian state portal "Diia" allows you to specify any date in the vaccination certificate pic.twitter.com/rPiVOt55rT
— herm1t (@vx_herm1t) November 6, 2021
“Мінцифрі пора зрозуміти, що треба вже з цим щось робити. Я думаю, що це не останній випадок – на наступному тижні вже може бути нова підробка “Дії”, – каже Надія Баловсяк.
Також виникає питання стосовно того, що інкримінувати таким порушникам. Костянтин Корсун, директор компанії з кібербезпеки Berezha Security, зазначив Тижню, що наразі правові підстави для обшуків та затримань відсутні. Цю тему експерт порушував раніше в контексті попереднього випадку підробки “Дії”, коли 17-річний хлопець із Харкова створив додаток із аналогічним до справжнього дизайном. Цей випадок розповсюдження фейкового застосунку став найпопулярнішою з усіх спроб підробити “Дію” – на телеграм-бот хлопця було підписано близько 20 тисяч користувачів. У своєму пості у Фейсбуці Корсун наголошував, що жодна з імовірних статей не підходить для цього випадку.
“361 (“хакерська”) стаття – мимо, тому що Дію ніхто не ламав. 190 (шахрайство) – також мимо, тому що не було зловживання довірою, адже саморобний продукт не позиціонував себе як справжня Дія. 358 стаття (“підробка документів”) – аналогічно не працює, оскільки Дія не є електронним документом: юридичний статус Дії та її обов'язкові реквізити (які зловмисник “підробив”) – ніде і нічим не визначені”, – писав Костянтин Корсун.
Наразі це вже третій зафіксований випадок підробки “Дії” – вперше таку спробу зробив 21-річний юнак із Запоріжжя, якому пізніше запропонували пройти стажування у Міністерстві цифрової трансформації, 3 листопада поліція викрила 17-річного харків’янина, цього разу – хлопець 15 років із Миколаєва.