Співробітницю «Дії» звинуватили в розголошенні персональних даних громадян. В держкомпанії назвали це фейком

У четвер, 3 серпня, в соціальній мережі Twitter зʼявилось повідомлення від користувача Пан Полтава (@poltava_x) про те, що одна зі співробітниць застосунку «Дія» надіслала персональні дані користувачів в сторонній чат, зокрема поділилась номерами телефонів деяких осіб.

Ми звернулись до представників ДП «Дія» з проханням прокоментувати ситуацію та розпитали про ймовірну можливість витоку даних. Ось що нам відповіли:

«Інформація, що поширюється у соцмережах — фейк. Ми детально розібрали цей кейс. За попередньою перевіркою встановлено, що учасники ситуації, однією з яких була оператор служби підтримки „Дії“, були знайомі особисто задовго до конфлікту. Номери телефонів, за якими контактувала операторка, — приватні. Вони раніше були в неї, отримані під час особистого спілкування та із соціальних мереж. Оприлюднено особисте спілкування, яке не стосується послуг чи документів в Дії», — повідомили в компанії.

За словами представника «Дії», наразі співробітниця відсторонена від роботи до звʼясування всіх деталей.

Хто має доступ до персональних даних

«Дія» не зберігає персональні дані, а використовує модель data-in-transit, підтягуючи
користувачу дані про користувача з відповідного реєстру. Працівники компанії не можуть мати доступ до персональних даних, бо такі дані не накопичуються. Відповідно «Дія» не має жодного відношення до передачі персональних даних, оприлюднених в соцмережах.

«У нашій службі підтримки логується кожна дія операторів, проджект-менеджерів та розробників, а також історія обробки на кожному рівні підтримки. Оператори мають доступ тільки до перегляду діалогу з користувачем. Ані менеджери підтримки, ані розробники — ніхто з працівників Дії не має доступу до персональних даних українців», — запевнили в компанії.

Все про українське ІТ в телеграмі — підписуйтеся на канал DOU

👍ПодобаєтьсяСподобалось0
До обраногоВ обраному0
LinkedIn



44 коментарі

Підписатись на коментаріВідписатись від коментарів Коментарі можуть залишати тільки користувачі з підтвердженими акаунтами.

«Дія ... використовує модель data-in-transit», «Працівники компанії не можуть мати доступ до персональних даних, бо такі дані не накопичуються.» — straightforward logic. Ну да, співробітники точно не мають в’юшки яка пуляє зовнішні API. І ці люди намагаються керувати країною :(

Я один тут не розумію в який момент data-in-transit стало синонімом що все супер безпечно. Десь тут пропала логіка, ми proxy тому злив даних абсолютно виключний.

То для маґлів заспокоєння, а особисто мене переконали б зовнішній незалежний аудит і відповідна сертифікація, а не декларації топів.

зовнішній незалежний аудит і відповідна сертифікація

насправді вони всі (крім суто технічних) — індульгенція за гроші

Не лише, це ще відповідальність.

відповідальність

:-))))))
яку саме відповідальність понесли Ernst & Young за фальсифікацію звітів по Lehman Brothers?

там ще щось з приват банком було таке... :)

співробітниць застосунку «Дія»

Співробітниця застосунку? Це як взагалі?

Про цю даму пишуть, що вона клерк у так званому «Дія Центрі» — що фактично є перебрендованим ЦНАПом. Яке відношення ЦНАП має до застосунку Дія — не зрозуміло.

Клерки можуть мати доступ до якихось даних і реєстрів — ну бо як інакше вони будуть працювати? Це очікувано.

Так само очікувано, що вони підписують договори, в яких їм забороняється використовувати отримані по роботі дані в неробочих цілях.

Клерки можуть мати доступ до якихось даних і реєстрів — ну бо як інакше вони будуть працювати? Це очікувано

Ні, це і не очікувано, і ніфіга неправильно. Бо щоб в сраному Приваті — ні разу не стандарт інфобезпеки — клерк міг про вас щось подивитись, ви маєте дозволити йому доступ, а якась путінввєді курва може собі у ЦНАПі дивитись, що хоче. Згадується, як русня через чийогось кума, що мав доступ до камер наших ментів вистежила й вбила контррозвідника. Оце ніфіга не нормально і не зводиться до провини кума, тут система спроєктована неправильно, просто від фундаменту.

в сраному Приваті — ні разу не стандарт інфобезпеки — клерк міг про вас щось подивитись, ви маєте дозволити йому доступ

Ви коли в Приваті пишете в техпідтримку «в мене не пройшла оплата» чи щось таке, там вас питають дозвіл? Ні, не питають. Питають час і номер карти — а всі доступи вони і так мають.

А в державному Ощаді був випадок що працівники взагалі обікрали пенсіонера.
Дуже цікава історія, доречі: www.facebook.com/...​4iMmSl&id=100007761677947

Розказуєте казки.

Питають. Ви давно певно не писали в підтримку привату. Оператор пише, що вам буде надіслана форма підвердження, ви заходите в сповіщення, там клацаєте «Підтвердити» і після того оператор має змогу переглянути дані які йому потрібні.

Писав недавно, ніякої форми не було.

Подивіться коментар нижче. І зрозумійте що так не тільки в нас, а скрізь. Технічний персонал має доступ до даних. Навіть в Пентагоні (Тейшейра ж).

Зараз їм для цього треба підтвердження. І то приватний банк, не подобається — йди в інший (наприклад, в Монобанк завдяки якому і BankID шахраї могли взяти кредит на взагалі ліву особу), а це державні реєстри якими хто хоче той і шариться.

Це не державний банк, а банк у власності держави. Але я тут швидше не про Приват, а про те, що навіть там змогли зробити підтвердження запита й фронт-офіс взагалі ні до чого доступу немає, вони тільки папірці фоткають і відправляють запити до бек-офісу, а тут особа з ЦНАПа шариться де хоче. І Приватом я може не користуватись, а ось всі ці Дії/ЦНАПи мають доступ до всього й ніхто мене про запити не питає.

Співробітницею «Дії» була користувачка X із ніком «джерело натхнення» (@nathnenna_). Наразі вона видалила свій профіль із платформи.

У мережі знайшлися її дописи часів Євромайдану, у яких вона називала протестувальників тваринами й жаліла беркутівців. А ще захоплювалась мешканцями так званих «днр» та «лнр».

twitter.com/...​tatus/1687163481802358786

Рівень доказів відсутності доступу до даних у дії, який ми заслужили.

Дореч, для тебе там вище посилання є.

Коментар порушує правила спільноти і видалений модераторами.

Богдан, хоч ти видалив своє питання і аккаунт, я тобі відповім — меньше за дію вписуйся.

Чи правильно я зрозумів, що пану Пан Полтава хтось скинув скріни якогось чатіка, де нібито співробітниця ДП Дія скинула якісь номери телефонів, і Пан Полтава подумав, що ці номери телефонів співробітниця ДП Дія отримала з додатку Дія? якась заплутана історія

Там все складніше, є конкретні люди які підтверджували інформацію про цю особу.
Особисті рахунки зводились таким чином, шо батькам «ворогів» звонили вночі і погрожували, приходили додому і т.д. Якшо це для вас не використання становища, то я навіть не знаю.

У новині і за посиланням цього всього немає

Особисті рахунки зводились таким чином, шо батькам «ворогів» звонили вночі і погрожували, приходили додому і т.д.

Хто дзвонив, хто погрожував, хто приходив, і до чого тут Дія? Фьодоров дзвонив, Шелест погрожував і Вискуб приходив?

Головне пам’ятати, що «У кожній казці є доля казки». Про зливи бази данних Привату і так всі знають, про продажу аналітичної інформацію операторами по клієнтам і вишкам — також всі знають. Чому хтось дивується про «дирявість» суперсекьюрної Дії — мені не зрозуміло. Завжди були, є і будуть персоснажі, які готові продатись за доляри.

Фейк. Звичайно. Вірю. Провірив!

у вас ссиль на твітор бита.

«Роль кібербезпеки трохи перебільшена» , - міністр Федоров

Одному мені ні чорта не зрозуміло що відбувається, яка історія там взагалі, що за чат, хто на кого наїхав і тд і тп.
Таке враження що ти у срач посеред срачу вліз і треба перегорнути попередні 250 повідомленьь, аби вловити контекст.

Вчора натрапив і пробував розібратись. Ситуація так і описана в першоджерелі, з обмеженими даними. Переважно, звинувачення)

я у твіттері знайшов скріншот з номером телефона баті.

Ну це ніби єдиний пруф, але ніби є ще, які не будуть публікувати)

Спочатку вам треба дізнатися про Славка..

Короче, Славко це користувач соціяльної мережі твітор, що робив збори на допомогу тваринам, але частково мутив гроші на особисті потреби, маніпулюючи людьми.

(Тільки будь ласка не узагальнуйте це, а краще киньте дві гривні на допомогу якомусь притулку)

Щоб розібратися в його мутках, більше дюжини справжнісеньких детективів об’єднались у крисиний чатік, де почалось з аналізу всяких чеків Славка, а перейшло у просто сумнівний чат ніби знайомих ніби про щось потеревеніти. Підозрювана, про яку йдеться в новині, масово робила голову тим учасникам чату, хто їй не подобається, з використанням їх персональних даних, а вони трохи сикували і мовчали, і ось тільки зараз завдяки пану Полтаві це стало гарячою темою.
Ось так від твіторчаніна з аватаркою сумної собаки ми переходимо до всесвіту безпечної Дії або ні.

Я так розумію, адміни таким чином на комменти байтять, закинувши гарячу тему і подавши 20% інфи від наявної)
PS оце санта-барбара))))))
PS PS допомогаю фондам або окремим особам особисто. Зазвичай рендомним людям з інтернету гроші не кидаю, просто. Дуже рідко.

Всі звинувачення — фєйк, сісурність і далі нікому не потрібна.

Звісно ж.

Вы можете сделать онлайн-запрос в реестр минюста и получить всю информацию о любом человеке, включая его объекты собдственности, номер телефона и адрес.
С появлением youcontrol.com.ua можно запрос не делать — все данные гуглятся.
Телефон — в открытом виде. ФИО — в открытом виде. КВЕД-ы — в открытом виде. Адрес — звездочками закрыт только индекс улицы и номер квартиры.
Про какую безопасность вы говорите?

Ця інформація є тільки про ФОПів, що логічно.

Реєстр нерухомого майна є про усіх.
Адресу реєстрації знайти в інших реєстрах теж можливо.

У фізособи немає КВЕДів. Це реєстр ФОПів і він відкритий, бо ФОП може надавати послуги населенню і його має бути можливим якось знайти.

Реєстр нерухомого майна теж відкритий.

Інформація щодо ФОП — тобто людина сама на це погодилась і могла вказати іншу адресу та телефон.

Щодо нерухомого майна, теж логічно.

Підписатись на коментарі