Відстеження місця перебування людини через «Дію». Що про це відомо і розʼяснення від Мінцифри

Правоохоронці, імовірно, мають змогу відстежувати місце перебування українців за кордоном через Єдиний портал державних послуг «Дія». Таке припущення робить видання Телеграф, посилаючись на рішення суду у справі про розкрадання держмайна. У Мінцифри інформацію про можливість такого відстеження заперечують.

📌 Деталі

Згідно з матеріалами справи, слідчі НАБУ передали до суду дані про те, як вдалося відстежувати переміщення одного з підозрюваних.

Журналісти Телеграф пишуть, що може йтися про Андрія Гмиріна, який фігурує у справі щодо махінацій у Фонді державного майна. Його також в НАБУ оголосили в розшук.

📌 Коментар Мінцифри

У Мінцифри відповіли, що інформацію про перебування одного з фігурантів справи могли встановити шляхом поєднання технічних даних із кількох систем і реєстрів.

«„Дія“ не відстежує місцезнаходження користувачів, не має власної бази даних та не зберігає персональні дані користувачів, а лише відображає інформацію з державних реєстрів. Тож „Дія“ не може передавати персональні дані користувачів. Команда міністерства не володіє деталями справи, бо не має доступу до неї», — зазначили у пресслужбі відомства.


Нагадаємо, 13 березня «Дія» стала опенсорс-проєктом. Нещодавно ми спілкувалися з Євгенієм Горбачовим, Chief Product Officer в «Дії». Розпитали, чому проєкт вийшов в опенсорс зараз, якою була перша реакція користувачів на GitHub та чи багато пул-реквестів від спільноти схвалила команда.

Все про українське ІТ в телеграмі — підписуйтеся на канал DOU

👍ПодобаєтьсяСподобалось7
До обраногоВ обраному1
LinkedIn



10 коментарів

Підписатись на коментаріВідписатись від коментарів Коментарі можуть залишати тільки користувачі з підтвердженими акаунтами.
не має власної бази даних та не зберігає персональні дані користувачів, а лише відображає інформацію з державних реєстрів

Окей, а РНОКПП маскується при логуванні запитів до веб-сервера і додатків?

а ще в дію додали пермішен доступа до локації..

Шо за бредятину написали одни и перепечатывают другие.
1. ИПшник всегда передается ибо надо установить соединение
2. ИПшник часто, НО НЕ ВСЕГДА, может передавать и через ВПН. Т.е. вы сидите в Полтаве, используете ВПН Австрии, но сервер все равно знает что вы в Полтаве (точнее ИТшник из пула ИПшников, какого-то там УкрПровайдера или прям лично ПолтаваВебПровайдер)
3. ГеоИП 2 копейки стоит, я уже молчу за ручную проверку
4. Если человек пользовался интернетом мобильным — то привет, дружище
5. Если человек пользовался интернетом мобильным (роуминг) — то привет, дружище
6. Если сайт куда он заходил через мобильный интернет, имеет партнерство с, условным, «МальдивСтар», то, в зависимости от юридических аспектов парнертсва, могут передать хоть вышку, к которой на тот момент наш клиент был подключен (и ИПшник не надо, есть точные геоданные). Учитывая триангуляцию — забудь вообще о том, что о тебе не знают и не знают где ты.

Но вернемся от «я тебя по ИП вычислю», к нашим стандарным процедурам.
1. Приложение Дия запрашивает доступ к Гео, но работает без него (т.е. аппка может, по крайней мере в полиси, попрситься узнать твое текущее местоположение по GPS. Тут поможет толькос спуфинг)
2. Само приложение, вроде как НЕ запрашивает Гео, просто указывает в полиси что оно ему может надо (может быть это опечатка требований при заливке приложения в плеймаркет)

Вся ситуация не стоит и 5 копеек.

А товарищи из Дия, как всегда, трындят. Потому что судом это обозначено четко. Т.е. по сути, скорее всего следак, уже обращался к нашим мамкиным трансформаторам за логами.
Тот факт что они смогли из логов найти конкретного человека, говорит о том что у них есть связь между сессией и конкретным типом. Поэтому там ИЛИ есть такая связь, или они хранят осознанно историю посещения пользователем (откуда, когда и т.п.)

ЧТО, повторюсь, СТАНДАРТНАЯ практика. Скажу больше, я бы не приятно удивился, если бы этого не было у приложения Дия. Это был бы верх некомпетентности.

Скорее всего, что бы не обвинять никого в хранении данных, есть пользователь Дии, а есть данные о физ лице и т.п. И вот как раз Дия, создает такого пользователя себе, а потом подтягивает его информацию из других источниках. И вот по этому пользователю и нашли.
Но, конечно же, может быть и иной (худший вариант), когда тот, кто не должен (и не имеет права хранить) данные их копирует себе и хранит (пусть даже для кеширования). Но это доказать довольно сложно сидя с дивана.

Кеш на девайсі. Але від логування під час трансферу це не рятує.

Логировать вещи типо ИП — это уровень транспорта. Я очень условно.
Логировать Иван Иван Иванович зашел с 127.0.0.1 — это уровень бизнеса, даже не аппликейшина.

Соотв это и есть ХРАНЕНИЕ информации приватной (личной), которая подпадает под ЗУ О персональных данных.

Более того, доподленно знать что Иванов Иван Иванович, это ТОТ САМЫЙ обвиняемый, надо указывать не только ФИО. Но и что-то более уникальное. Например ИНН. Что опять же, подпадает под ЗУ.

Так же, я не знаю, но, возможно, Дия шлёт нотификации. А это означает что когда в Дию приходит ивент что Иванову Иван Ивановичу сделали справку, Дия сервер знает куда отправить этот нотиф. Т.е. есть связь между УНИКАЛЬНЫМ Ивановым ИИ и его девайсом.

Если же кто-то заявляет что он НЕ хранит информацию о пользователе, это означает что невозможно узнать по той информации что хранится пользователя со 100% вероятностью. Т.е. на время сессии — окей, конечно, нет проблем. Но, допустим, спустя месяц сессия уже протухает.

Отсюда вот это все «не храним» звездеж.
Дия хранит 3д рожи для авторизации + ФИО + Уникальный идентификатор (например ИНН, или ФИО+Дата рождения, но это тоже не очень уникально) 500%
Меня каждый раз не просят зайти через БанкИД. Соотв я ВСЕГДА идентифицирован у них и они все про меня знают, так как все это хранят.

Ну geoip наприклад навіть тей самий MaxMind не дасть тобі сто відсоткову точність, максимум місто , ну і існує відсоток в районі 5-7 певного типу IP які він не зможе зарезолвити, погоджуюсь з приводу VPN, дуже часто можна визначити реальну IP адресу.

Так правильно, тут і не була використана Дія як така, тут взяли умовно логи сервера де знаходиться Дія і відфільтрували вхідні ІР по даних авторизації. А як шукати локацію по IP це вже інше питання.

не умовно, в оригінальній новині був зазначений саме веб-портал Дія, а не мобільна апка

А дані авторизації звідкіль узялися? ;)

Підписатись на коментарі