IT саласының сарапшысы Арман Әбдірасилов Egov Mobile мобильді қосымшасынан баг (осалдық) деп аталатын кемшіліктерді тапты.
Сарапшы өзінің Telegram-арнасында «Әбдірасилов блогы» хабарлағандай, Egov Mobile мобильді қосымшасында мемлекеттік қызметтерді Face ID (бет тану) арқылы алуға болады. Алайда, оның айтуынша, Face ID арқылы қызмет көрсету кезінде қосымша қызмет алушының бетін Әділет министрлігінің базасымен салыстырмайды, керісінше жергілікті беттер базасымен — Know Your Client (KYC) тексеріледі.
«Egov Mobile KYC-ге үшінші тарап сервисіне сенеді. <…> Менің iPhone телефонімнің баптауларындағы Face ID бөлімінде "Баламалы сыртқы келбет" мәзірі бар. Егер оған басқа бір адамның бетін қоссаңыз, ол менің атымнан мемлекеттік қызметтерді алып қана қоймай, Egov Mobile арқылы QR қол қою сервисі арқылы құжаттарға да қол қоя алады», — делінген хабарламада.
Растау үшін Әбдірасилов TSARKA - Bug Bounty платформасына осалдықты анықтау туралы есеп берді.
«Енді бұл ресми баг №3052 және оны қашан және қалай түзететінін бақылауға болады. Сондай-ақ, бұрын қол қойылған құжаттар бойынша шағымдар мен бас тартулар болатынын көру қызықты, өйткені eGov тарапынан қол қоюдың заңдылығын дәлелдейтін ешқандай дәлел жоқ», — деп жазады сарапшы.
Сонымен қатар ол ХҚКО-да ЭЦҚ алу кезінде туындайтын мәселелер туралы айтты. Оның айтуынша, қызмет көрсету кезінде қызмет алушының жеке басын растау үшін биометрия қолданылады.
«Мұндағы Face ID жүйесі басқа жеткізушіден. Бұл шешім Egov Mobile-ден айырмашылығы, Әділет министрлігінің базасымен салыстырылады, бірақ … liveness (алаяқтықтан қорғау технологиясы) тексеруін жасамайды. Яғни, камераға адамның, мысалы, әлеуметтік желілердегі фотосуретін немесе бейнежазбасын көрсету жеткілікті, сонда ХҚКО операторы кез келген жеке кабинетке қол жеткізе алады», — делінген хабарламада.
Бұдан басқа, сарапшы мобильді азаматтар базасындағы (МАБ) модератор құқығы да ХҚКО операторына тиесілі екенін атап өтті. Айтпақшы, бұл базада екінші қауіпсіздік факторынан өту және жеке кабинетке кіру үшін азаматтардың мобильді нөмірлері көрсетілген.
«Кез келген пәтерге кез келген адамды тіркеу үшін операторлар пәтер иесі мен тіркелетін адамның мобильді нөмірлерін өздерінікіне ауыстырып, содан кейін SMS немесе жеке кабинет арқылы мемлекеттік қызметке рұқсат бере алады. Рәсімнен кейін ескі телефон нөмірлерін қайтарады», — деп жазады Әбдірасилов.