Хакеры зарабатывают на израильских «госуслугах»
Киберпреступники построили в Израиле огромный бизнес на государственном портале для бронировании мест в очередях в госучреждения. Сервис, на разработку которого были потрачены госсредства, ежедневно взламывается хакерами, которые потом продают места в очередях.
За сервисом, получившим название MyVisit, стоит израильская компания Qnomy. Его разработка велась в рамках госконтракта, тендер на выполнение которого Qnomy выиграла в 2013 г. У нее есть опыт разработки подобных проектов – она создает их как для частных фирм, так и для общественных организаций, а также для государственных структур, включая правительство Австралии и армию США,
В первые годы своего существования MyVisit пользоваться им никто не заставлял – вплоть до начала 2020 г. это был своего рода упрощенный аналог российских «Госуслуг», позволявший заранее записаться в нужное госведомства, чтобы затем просто приехать в назначенное время и не стоять в живой очереди. Но пандемия коронавируса внесла свои коррективы в работу MyVisit – с 2020 г. стал безальтернативным способом записи на прием в учреждения. Чаще всего им пользуются для выпуска биометрических документов, а это – теудат зеут (ТЗ, удостоверение личности) и даркон (загранпаспорт).
В числе тех, кто столкнулся с некачественной работой портала MyVisit оказался репатриант Леонид Голденберг, приехавший в Израиль в 2019 г. и осветивший происходящее с MyVisit в своем блоге на портале Teletype.
Массовые проблемы
Как пишет Голденберг, почти сразу после изменений в 2020 г. сервис не выдержал внезапно возросшей нагрузки. В числе прочих проблем пользователи MyVisit столкнулись с невозможностью записи на получение госуслуги на ближайшие дни – можно было записаться только на полгода вперед, поскольку все слоты внезапно оказались заняты – их путем взлома сайта забронировали мошенники с целью перепродажи.
На фоне этого как грибы после дождя стали появляться десятки нелегальных организаций, предлагающих организовать запись на получение услуги не через полгода, а через несколько дней, но за деньги. Все эти организации имеют одинаковые характеристики: они незаконны, у них черная касса, они не дают никаких гарантий и они рекламируются в Telegram.
Леонид Голденберг выявил огромный список недочетов MyVisit, благодаря которому на нем паразитируют мошенники, и первый – это общая организация его работы. MyVisit – это клиентская часть общей системы Qnomy, которая обращается к серверной Q-Flow, равно как и другие продукты Qnomy.
При оформлении заявки на посещение госведомства через MyVisit обязательно нужно указывать номер ТЗ (удостоверения личности). Однако алгоритмы сервиса проверяют лишь валидность номера, но не подлинность, что позволяет вводить в это поле любой произвольный номер, сгенерированный при помощи доступных в Сети специализированных приложений.
Третья проблема MyVisit – возможность регистрации бесконечного конечного посещений на один номер телефона. Этим и пользуются мошенники, бронируя на себя все свободные слоты, а потом перепродавая их обычным гражданам за деньги.
Четвертая проблема – для бронирования места в очереди через мобильное приложение MyVisit не нужно регистрироваться, достаточно просто указать номер телефона. Это тоже на руку продавцам мест в очереди.
Регистрироваться не нужно и для проверки свободных слотов, и ограничений на такие проверки тоже нет.
Программистам дан «зеленый свет»
Леонид Голденберг подчеркнул, что разработчики MyVisit совершенно не позаботились о безопасности своего сервиса. Код мобильного Android-приложения открыт для всех – оно написано на JavaScript, не имеет защиты и может быть открыто в любом современном редакторе. Не лучшим образом с защитой обстоят дела и у серверной части проекта – Q-Flow API.
Все это привело к наплыву программистов, наплодивших многочисленных ботов, которые в автоматическом режиме ищут свободные слоты для записи на MyVisit и тут же бронируют их. Код многих ботов открыт и выложен на GitHub (принадлежит Microsoft).
Власти бессильны
Как пишет разработчик Матвей Кукуй в своем Telegram-канале, информация о происходящем с MyVisit дошла до властей далеко не сразу. Они «прозрели» лишь через полгода после первых случаев мошенничества – к тому моменту израильтяне стали массово оставаться без загранпаспортов, не имея возможности записаться на прием в госведомство.
Власти тут же привлекли полицию, но она смогла задержать лишь несколько мошенников. Этого хватило на несколько дней – на место арестованным пришли другие желающие заработать на MyVisit, и проблема с отсутствием свободных слотов в очередях возникла вновь.
Бороться с мошенниками решили хорошие программисты – по словам Матвея Кукуя, они создали несколько Telegram-ботов, ищущих свободные слоты и позволяющих занять их, не требуя взамен денег. Рост их популярности был молниеносным – на них подписались десятки тысяч человек, что сделало их бесполезными.
В настоящее время полиция следит за работой MyVisit и регулярно удаляет несколько сотен тысяч оформленных заявок на бронирование. Но это очень временное решение – спустя час, пишет Матвей Кукуй, все слоты вновь оказываются заняты.
«О чем эта вся история? Мне кажется, о том, как один безрукий бэкенд-программист может создать национальный спорт и сделать 10 млн человек профессиональными игроками. Ну, либо, сиди без загранника», – подытожил Матвей Кукуй».
Печальные последствия
Леонид Голденберг в своем блоге привел несколько последствий, к которым привела проблема с MyVisit. В их числе – проблемы с репатриацией эмигрантов, которые вынуждены «пребывать в подвешенном состоянии, находясь в бесконечных очередях в попытках получить свои документы», пишет Голденберг.
Также он обратил внимание на то, что MyVisit и то, как он работает, приводит к росту теневой экономики в стране. И все это выливается в общественное недовольство, поскольку некачественный интернет-сервис не позволяет им получить доступ к госуслугам.
Комментарии
Вообще странно, в Израиле одни из лучших программистов по безопасности.
То есть вы просто вменяете некой общности её качество, а потом просто "проверяете" физическую реальность заведомо приписанным признаком. Верно?
В данном случае он прав
В Израиле много компании связанных с безопасностью(например ЧекПоинт) а также производством и разработкой ,процессорами, чипами и тд - почти все крупные компании в отрасли держат там лабы и филиалы
и там есть хорошие и сильные учебные заведения где готовят разрабтчиков-например Технион-Израильский технологический (а также другие университеты и колледжи)
и готовят хорошо
просто тут судя по всему коррупция распил и чтото еще
тут есть нюанс, израильские компании занимаются не безопасностью, а бизнесом на безопасности. это чуть разные вещи, и вот в бизнесе они таки неплохи.
Таки надо понимать разницу между мастером и профессионалом...
Тут прямо в названии разработчика Qnomy. Даже в слове «экономия» пару букв сэкономили. Так и с безопасностью.
Я может чего-то не понимаю. Это из серии "Тупой и еще тупее"?
Если в очередь записался Абрам Моисеич, то он и должен прийти на прием, а не Моисей Абрамыч.
В чем проблемы? Это решается в "два клика" мышкой.
Я помню такое у нас в перестройку - очередь в юстицию.
Но там была жЫвая очередь и продавались места именно в ней.
Все пять человек сейчас заняты
Причем не все кодят за одну сторону.
Мы с вами одну и ту же статью читали или нет?
Прочитайте статью ещё раз: то, что в ней называется “взломом” это обычное, штатное использование сайта для мошенничества.
Никаким “взломом” там и не пахнет.
Что могут сделать специалисты по безопасности, если им не дают работать?
Думаете им сложно изменить работу сайта так, чтобы на один номер нельзя было зарегистрировать больше одного (или пяти, как у Гугла) акканутов?
Нет — но заказчик, наверняка, на это не соглашается. И требует чтобы ему обеспечили безопасность, но так, чтобы замков на дверях не было.
Ну извините, с губозакатывательными машинками сейчас напряг.
Спорно. Кевин Митник начинал с того, что создал бесконечный автобусный билет и занимался бесплатными междугородними и международными телефонными звонками. Штатно используя существующие системы, изменения никуда не вносились.
Они вообще ничего не могут сделать. ПоИБ всегда занимались только бумажками)
Конечно, сложно. ПоИБ не про это. Прежде всего ПоИБ спецы не умеют вообще ничего, они компьютером пользуются с трудом. Они могут вежливо попросить, их могут также вежливо послать. После чего все остаются при своих.
Плохому танцору... Да, именно так:
- Шеф!
- У нас дыра в безопасности!
- Ну хоть что-то у нас в безопасности...
А Вы как хотели?
сам себя не похвалишь ...
Да варианта: считаются, но не являются и сделали намеренно чтоб заработать.
Компании, которые проверяют безопасность других компаний - обычно сами по себе безопасность обеспечить не могут.
Несколько раз сталкивался: крутая "белошляпная" хакерская контора, взломать может что угодно. А когда разрабатывала свою собственную систему мониторинга сети (обнаружения попыток взлома) саму эту систему сделала абсолютно дырявой.
Собственный аудит они бы не прошли.
-------------
Анекдот про хакера и солонку в общепите можно погуглить
Как мне объясняли хорошие знакомые из Израиля, там все IT-специалисты делятся на две категории:
Отсюда и результат. Это еще только про систему записи написали, а если завести с израильским гражданином разговор про банки - там идет только мат.
Хакеры с ними тоже поделились. Там же все хитровыделанные, оказывают друг другу возмездные услуги по замкнутому кругу.
Таки гешефт сам себя не сделает
А не проще сравнивать телефон или номер документа при получении услуги? Сразу отпадет 95% левых бронирований. Остаток 4,99% убрать методом - не более 5 бронирований в сутки/неделю.
тогда уж проще через банк такое действует в некоторых странах европы -там самые крупные банки имеют подобную возможность(когда 3-5 банков контролируют около 80%)
В израиле их -крупных мало
И написать простейший скрипт: если на одном номере телефона более 2 бронирований, автоматически аннулировать их все. И пользователям объяснить это громогласно.
Думаю в это всё упирается. Разрабочики-то могут придумать массу решений, но госчиновники отказываются от любых решений, требующих изменения техзадания, а в этом случае неважно насколько компетентен исполнитель.
Заведут 200-1000 номеров, сейчас это не проблема. А вот сравнивать номер с помощью смс во время получения услуги - вот это будет посложнее, хотя пиикрутят бота челез телеграмм и так же будет пртходить смс. Проще индефикауия по ФИО
ну так если там все слоты заняты ботами
так приходите так, без записи
там будет пусто, договоритесь, в окошечках же не боты сидят, а люди
хотя может быть эти люди и торгуют этими слотами))
Вы видимо давно не приходили в госучреждение по насущному вопросу. За столетия люди придумали массу способов сделать такие посещения невыносимыми для нормального человека, а иудеи первейшие мастера в этом деле, даже в Библии про это есть.
Что же до торговли, и вы таки будете учить их делать маленький гешефт? Там неплохо бы разобраться, почему годами не решается простейшая техническая проблема.
В России для этого есть Госуслуги и "Мои документы". Проще, чем в последний раз, я машину не регистрировал и загранпаспорт не менял.
Вот это и есть "цифровые госуслуги" здорового человека. В такой системе данный способ мошенничества невозможен технически.
Бардак-с...офигеть на каком уровне.А ещё хвастались и книжки писали: "Самый умный народ на свете" Да-а-а ???
Анекдот.
В тель-авивском аэропорту "Бен-Гурион" висит большое объявление: «Не думай, что ты самый умный. Здесь все — евреи».
А вы пойдите и организуйте сбор денег с граждан за очередь на загранпаспорт!
Оно мне надо ?
MyVisit..
Как там Врунгель про яхту пел? Я забыл).
Капитан пел про яхту, а тут целая страна!
MyStoit
В наших краях годами ровно такая же проблема с электронной записью на загранпаспорт. В этой Qnomy и у нас не родственники, часом, работают?
тенденция однако. Конторы, выигравшие тендер, нанимают копеечных фрилансеров, вот и результат. Это не только в Израиле, практически везде.
Зайдите куда-нибудь в web интерфейс и для интереса консоль откройте. Удивитесь сколько там warning'ов и ошибок.
Особенно угнетает наблюдение этого в банковских web приложениях.
А при чем тут программисты? Написали бы "компьютерщики", и то грамотнее было бы.
Было бы удивительно, если бы евреи забыли, что они евреи и не делали гешефт на евреях (других просто нет).
Перспективный чат детектед! Сим повелеваю - внести запись в реестр самых обсуждаемых за последние 4 часа.
Проблема не в том что подрядчики лажаются, а проблема в том, что в мире, на всех уровнях, полно людей не понимающих кто такие "программисты", и с этого начинаются все беды. Не понимают - почему программисты плохо ведут договора, плохо забивают гвозди, обжимают витую пару, руководят инвентаризацией и вообще не делают всё за заказчика и все работы по проекту. Ведь всё так просто - нашел программиста с хорошим Университетским образованием, сказал ему "чтоб система бронирования и посещения врачей работала как часы", и всё заработает. Да и врачей наверно программист должен найти. Но не получается. Видимо "так их этому в Университетах учат". Но какое отношение программисты могут иметь к организации контроля личности при бронировании места? Контроля личности при посещении? Да никакого. Это не задача программиста. Если бы был вменяемый заказчик, он бы обговорил с подрядчиком, например "при бронировании места нужно указать свои реквизиты, и лица с другими реквизитами к приему допущены не будут", и организовать сам процесс "недопуска". И это естественно ну никак не зона ответственности программистов. Но нет. И в статье, и в обсуждении - "ой какие плохие программисты, не так программу написали"
Этим занимается аналитик, с программистом он общается посредством проектировщика.
В любом случае не программист, но и всё равно нет! Стоимость изменения авторизации - это ничто по сравнению со стоимостью проекта. Но не может разработчик самовольно поменять авторизацию.
Указание имени-фамилии при заказе - мало того что тоже совсем просто, оно же сделано. Но неужели разработчик виноват в том что пускают других людей по брони? Механизм возврата мест в случае отказа тоже должен быть подтвержден заказчиком.
И понятно, что всё это ну никак не компетенция программиста, поэтому негатив к программистам в статье и обсуждении совсем странен. Но это вообще не в поле ответственности подрядчика. Лажает заказчик, а не подрядчик.
Как сделано в России - записаться на прием к врачу можно без регистрации. Но нужно указать ФИО и дату рождения, и фиг другой человек пройдет. Но это воля заказчика, а не разработчика. Обязать заполнить 4 поля - ничего не стоит разработчику. И, повторюсь, я точно не знаю как там организовано, но скорей всего эти сведения при заказе нужно указывать. Проблема либо в том что при возврате/отказе можно сразу перебронировать на другое лицо, либо вообще в брони можно поменять лицо, либо может по брони прийти другой - в любом случае устранение этого весьма просто, но на это нужна воля заказчика!
Также надо указать мобильный и электронную почту.
При 3-х непосещениях врача могут заблокировать возможность свободной записи, разблокировка через личный визит в регистратуру медучреждения.
Если врач не специализированный (например, один из 4-х детей аллергик, и там именное направление от педиатра), то ко всем остальным специалистам вожу и до 3-х детей на один талон,
и Машу вместо Пети, и Васю вместо Маши.
Но не такой бардак как там, что массово бронируют на левых лиц, по этой брони принимают кого угодно, а виноват не то что подрядчик, не разработка в целом, а вообще программисты. Виноваты не с точки зрения чиновников, а с точки зрения большинства. Даже среди аудитории АШ.
Хотя как по мне, то не может быть сомнений в том что вина полностью на заказчике. На чиновниках.
Вот именно, программист работает на заказчика, но не напрямую, а через целую систему-инфраструктуру.
Вот как сделано на горздраве, неужели разработчики не могут добавить или разработать такую форму? Да нет же. Проблема совсем в другом месте, и не на стороне разработчика. А претензии к открытым исходникам вообще смешны. Ну, открыли исходники, открыли API - и кому это вредит? Контроль же сделан на уровне API, на серверах.
Все криво, все сломали :)
Похоже чуваку надо паспорт поменять а ему за деньги предлагают :)
Был в министерстве на днях. В My visit ближайшая очередь на 29 сентября. Зашел. Служащая внутри после разговора, назначила очередь. 12 мая. :)))
В темной и дремучей России паспорта по возрасту меняют в любом районном МФЦ (своего района в Петербурге) сразу и без очереди, причем сразу после окончания НГ каникул.
Можно и записаться - сразу после НГ очередь была на неделю, если в ближайшее к дому МФЦ, если не в ближайшее, то через 2-3 дня.
Как все в "прогрессивной" стране запущено.
Ну это же евреи. Без пусть и маленького гешефта никак. А где маленький - там и большой. А остановить это безобразие тупо некому - все евреи, имеешь гешефт не мешай гешефту соседа.
Страницы