XUC
второе пришествие
- Регистрация
- 3 Сен 2006
- Сообщения
- 869
- Реакции
- 569
- Автор темы
- #1
Хакеры ежедневно их ломают, чтобы заработать. Власти бессильны
Израильтяне и репатрианты лишились возможности пользоваться услугами госведомств – записаться на прием можно только через специальный сайт, где можно выбрать время приема, но он написан настолько плохо, что хакеры ломают его каждый день и при помощи ботов занимают все слоты, чтобы потом продавать брони нуждающимся. Ни власти, ни полиция пока ничего не могут с этим сделать – предпринимаемые ими меры дают очень кратковременный эффект.
Хакеры зарабатывают на израильских «госуслугах»
Киберпреступники построили в Израиле огромный бизнес на государственном портале для бронировании мест в очередях в госучреждения. Сервис, на разработку которого были потрачены госсредства, ежедневно взламывается хакерами, которые потом продают места в очередях.
За сервисом, получившим название MyVisit, стоит израильская компания Qnomy. Его разработка велась в рамках госконтракта, тендер на выполнение которого Qnomy выиграла в 2013 г. У нее есть опыт разработки подобных проектов – она создает их как для частных фирм, так и для общественных организаций, а также для государственных структур, включая правительство Австралии и армию США,
В первые годы своего существования MyVisit пользоваться им никто не заставлял – вплоть до начала 2020 г. это был своего рода упрощенный аналог российских «Госуслуг», позволявший заранее записаться в нужное госведомства, чтобы затем просто приехать в назначенное время и не стоять в живой очереди. Но пандемия коронавируса внесла свои коррективы в работу MyVisit – с 2020 г. стал безальтернативным способом записи на прием в учреждения. Чаще всего им пользуются для выпуска биометрических документов, а это – теудат зеут (ТЗ, удостоверение личности) и даркон (загранпаспорт).
«Госуслуги» Израиля очень далеки от идеала
В числе тех, кто столкнулся с некачественной работой портала MyVisit оказался репатриант Леонид Голденберг, приехавший в Израиль в 2019 г. и осветивший происходящее с MyVisit в своем блоге на портале Teletype.
Массовые проблемы
Как пишет Голденберг, почти сразу после изменений в 2020 г. сервис не выдержал внезапно возросшей нагрузки. В числе прочих проблем пользователи MyVisit столкнулись с невозможностью записи на получение госуслуги на ближайшие дни – можно было записаться только на полгода вперед, поскольку все слоты внезапно оказались заняты – их путем взлома сайта забронировали мошенники с целью перепродажи.
На фоне этого как грибы после дождя стали появляться десятки нелегальных организаций, предлагающих организовать запись на получение услуги не через полгода, а через несколько дней, но за деньги. Все эти организации имеют одинаковые характеристики: они незаконны, у них черная касса, они не дают никаких гарантий и они рекламируются в Telegram.
Леонид Голденберг выявил огромный список недочетов MyVisit, благодаря которому на нем паразитируют мошенники, и первый – это общая организация его работы. MyVisit – это клиентская часть общей системы Qnomy, которая обращается к серверной Q-Flow, равно как и другие продукты Qnomy.
При оформлении заявки на посещение госведомства через MyVisit обязательно нужно указывать номер ТЗ (удостоверения личности). Однако алгоритмы сервиса проверяют лишь валидность номера, но не подлинность, что позволяет вводить в это поле любой произвольный номер, сгенерированный при помощи доступных в Сети специализированных приложений.
Третья проблема MyVisit – возможность регистрации бесконечного конечного посещений на один номер телефона. Этим и пользуются мошенники, бронируя на себя все свободные слоты, а потом перепродавая их обычным гражданам за деньги.
Четвертая проблема – для бронирования места в очереди через мобильное приложение MyVisit не нужно регистрироваться, достаточно просто указать номер телефона. Это тоже на руку продавцам мест в очереди.
Регистрироваться не нужно и для проверки свободных слотов, и ограничений на такие проверки тоже нет.
Программистам дан «зеленый свет»
Леонид Голденберг подчеркнул, что разработчики MyVisit совершенно не позаботились о безопасности своего сервиса. Код мобильного Android-приложения открыт для всех – оно написано на JavaScript, не имеет защиты и может быть открыто в любом современном редакторе. Не лучшим образом с защитой обстоят дела и у серверной части проекта – Q-Flow API.
Все это привело к наплыву программистов, наплодивших многочисленных ботов, которые в автоматическом режиме ищут свободные слоты для записи на MyVisit и тут же бронируют их. Код многих ботов открыт и выложен на GitHub (принадлежит Microsoft).
Власти бессильны
Как пишет разработчик Матвей Кукуй в своем Telegram-канале, информация о происходящем с MyVisit дошла до властей далеко не сразу. Они «прозрели» лишь через полгода после первых случаев мошенничества – к тому моменту израильтяне стали массово оставаться без загранпаспортов, не имея возможности записаться на прием в госведомство.
Власти тут же привлекли полицию, но она смогла задержать лишь несколько мошенников. Этого хватило на несколько дней – на место арестованным пришли другие желающие заработать на MyVisit, и проблема с отсутствием свободных слотов в очередях возникла вновь.
Бороться с мошенниками решили хорошие программисты – по словам Матвея Кукуя, они создали несколько Telegram-ботов, ищущих свободные слоты и позволяющих занять их, не требуя взамен денег. Рост их популярности был молниеносным – на них подписались десятки тысяч человек, что сделало их бесполезными.
В настоящее время полиция следит за работой MyVisit и регулярно удаляет несколько сотен тысяч оформленных заявок на бронирование. Но это очень временное решение – спустя час, пишет Матвей Кукуй, все слоты вновь оказываются заняты.
«О чем эта вся история? Мне кажется, о том, как один безрукий бэкенд-программист может создать национальный спорт и сделать 10 млн человек профессиональными игроками. Ну, либо, сиди без загранника», – подытожил Матвей Кукуй».
Печальные последствия
Леонид Голденберг в своем блоге привел несколько последствий, к которым привела проблема с MyVisit. В их числе – проблемы с репатриацией эмигрантов, которые вынуждены «пребывать в подвешенном состоянии, находясь в бесконечных очередях в попытках получить свои документы», пишет Голденберг.
Также он обратил внимание на то, что MyVisit и то, как он работает, приводит к росту теневой экономики в стране. И все это выливается в общественное недовольство, поскольку некачественный интернет-сервис не позволяет им получить доступ к госуслугам.
Источник Для просмотра ссылки Войдиили Зарегистрируйся
Израильтяне и репатрианты лишились возможности пользоваться услугами госведомств – записаться на прием можно только через специальный сайт, где можно выбрать время приема, но он написан настолько плохо, что хакеры ломают его каждый день и при помощи ботов занимают все слоты, чтобы потом продавать брони нуждающимся. Ни власти, ни полиция пока ничего не могут с этим сделать – предпринимаемые ими меры дают очень кратковременный эффект.
Хакеры зарабатывают на израильских «госуслугах»
Киберпреступники построили в Израиле огромный бизнес на государственном портале для бронировании мест в очередях в госучреждения. Сервис, на разработку которого были потрачены госсредства, ежедневно взламывается хакерами, которые потом продают места в очередях.
За сервисом, получившим название MyVisit, стоит израильская компания Qnomy. Его разработка велась в рамках госконтракта, тендер на выполнение которого Qnomy выиграла в 2013 г. У нее есть опыт разработки подобных проектов – она создает их как для частных фирм, так и для общественных организаций, а также для государственных структур, включая правительство Австралии и армию США,
В первые годы своего существования MyVisit пользоваться им никто не заставлял – вплоть до начала 2020 г. это был своего рода упрощенный аналог российских «Госуслуг», позволявший заранее записаться в нужное госведомства, чтобы затем просто приехать в назначенное время и не стоять в живой очереди. Но пандемия коронавируса внесла свои коррективы в работу MyVisit – с 2020 г. стал безальтернативным способом записи на прием в учреждения. Чаще всего им пользуются для выпуска биометрических документов, а это – теудат зеут (ТЗ, удостоверение личности) и даркон (загранпаспорт).
«Госуслуги» Израиля очень далеки от идеала
В числе тех, кто столкнулся с некачественной работой портала MyVisit оказался репатриант Леонид Голденберг, приехавший в Израиль в 2019 г. и осветивший происходящее с MyVisit в своем блоге на портале Teletype.
Массовые проблемы
Как пишет Голденберг, почти сразу после изменений в 2020 г. сервис не выдержал внезапно возросшей нагрузки. В числе прочих проблем пользователи MyVisit столкнулись с невозможностью записи на получение госуслуги на ближайшие дни – можно было записаться только на полгода вперед, поскольку все слоты внезапно оказались заняты – их путем взлома сайта забронировали мошенники с целью перепродажи.
На фоне этого как грибы после дождя стали появляться десятки нелегальных организаций, предлагающих организовать запись на получение услуги не через полгода, а через несколько дней, но за деньги. Все эти организации имеют одинаковые характеристики: они незаконны, у них черная касса, они не дают никаких гарантий и они рекламируются в Telegram.
Леонид Голденберг выявил огромный список недочетов MyVisit, благодаря которому на нем паразитируют мошенники, и первый – это общая организация его работы. MyVisit – это клиентская часть общей системы Qnomy, которая обращается к серверной Q-Flow, равно как и другие продукты Qnomy.
При оформлении заявки на посещение госведомства через MyVisit обязательно нужно указывать номер ТЗ (удостоверения личности). Однако алгоритмы сервиса проверяют лишь валидность номера, но не подлинность, что позволяет вводить в это поле любой произвольный номер, сгенерированный при помощи доступных в Сети специализированных приложений.
Третья проблема MyVisit – возможность регистрации бесконечного конечного посещений на один номер телефона. Этим и пользуются мошенники, бронируя на себя все свободные слоты, а потом перепродавая их обычным гражданам за деньги.
Четвертая проблема – для бронирования места в очереди через мобильное приложение MyVisit не нужно регистрироваться, достаточно просто указать номер телефона. Это тоже на руку продавцам мест в очереди.
Регистрироваться не нужно и для проверки свободных слотов, и ограничений на такие проверки тоже нет.
Программистам дан «зеленый свет»
Леонид Голденберг подчеркнул, что разработчики MyVisit совершенно не позаботились о безопасности своего сервиса. Код мобильного Android-приложения открыт для всех – оно написано на JavaScript, не имеет защиты и может быть открыто в любом современном редакторе. Не лучшим образом с защитой обстоят дела и у серверной части проекта – Q-Flow API.
Все это привело к наплыву программистов, наплодивших многочисленных ботов, которые в автоматическом режиме ищут свободные слоты для записи на MyVisit и тут же бронируют их. Код многих ботов открыт и выложен на GitHub (принадлежит Microsoft).
Власти бессильны
Как пишет разработчик Матвей Кукуй в своем Telegram-канале, информация о происходящем с MyVisit дошла до властей далеко не сразу. Они «прозрели» лишь через полгода после первых случаев мошенничества – к тому моменту израильтяне стали массово оставаться без загранпаспортов, не имея возможности записаться на прием в госведомство.
Власти тут же привлекли полицию, но она смогла задержать лишь несколько мошенников. Этого хватило на несколько дней – на место арестованным пришли другие желающие заработать на MyVisit, и проблема с отсутствием свободных слотов в очередях возникла вновь.
Бороться с мошенниками решили хорошие программисты – по словам Матвея Кукуя, они создали несколько Telegram-ботов, ищущих свободные слоты и позволяющих занять их, не требуя взамен денег. Рост их популярности был молниеносным – на них подписались десятки тысяч человек, что сделало их бесполезными.
В настоящее время полиция следит за работой MyVisit и регулярно удаляет несколько сотен тысяч оформленных заявок на бронирование. Но это очень временное решение – спустя час, пишет Матвей Кукуй, все слоты вновь оказываются заняты.
«О чем эта вся история? Мне кажется, о том, как один безрукий бэкенд-программист может создать национальный спорт и сделать 10 млн человек профессиональными игроками. Ну, либо, сиди без загранника», – подытожил Матвей Кукуй».
Печальные последствия
Леонид Голденберг в своем блоге привел несколько последствий, к которым привела проблема с MyVisit. В их числе – проблемы с репатриацией эмигрантов, которые вынуждены «пребывать в подвешенном состоянии, находясь в бесконечных очередях в попытках получить свои документы», пишет Голденберг.
Также он обратил внимание на то, что MyVisit и то, как он работает, приводит к росту теневой экономики в стране. И все это выливается в общественное недовольство, поскольку некачественный интернет-сервис не позволяет им получить доступ к госуслугам.
Источник Для просмотра ссылки Войди