Киберпреступники построили в Израиле огромный бизнес на государственном портале для бронировании мест в очередях в госучреждения. Сервис, на разработку которого были потрачены госсредства, ежедневно взламывается хакерами, которые потом продают места в очередях.
За сервисом, получившим название MyVisit, стоит израильская компания Qnomy. Его разработка велась в рамках госконтракта, тендер на выполнение которого Qnomy выиграла в 2013 г. У нее есть опыт разработки подобных проектов – она создает их как для частных фирм, так и для общественных организаций, а также для государственных структур, включая правительство Австралии и армию США,
В первые годы своего существования MyVisit пользоваться им никто не заставлял – вплоть до начала 2020 г. это был своего рода упрощенный аналог российских «Госуслуг», позволявший заранее записаться в нужное госведомства, чтобы затем просто приехать в назначенное время и не стоять в живой очереди. Но пандемия коронавируса внесла свои коррективы в работу MyVisit – с 2020 г. стал безальтернативным способом записи на прием в учреждения. Чаще всего им пользуются для выпуска биометрических документов, а это – теудат зеут (ТЗ, удостоверение личности) и даркон (загранпаспорт).
В числе тех, кто столкнулся с некачественной работой портала MyVisit оказался репатриант Леонид Голденберг, приехавший в Израиль в 2019 г. и осветивший происходящее с MyVisit в своем блоге на портале Teletype.
Как пишет Голденберг, почти сразу после изменений в 2020 г. сервис не выдержал внезапно возросшей нагрузки. В числе прочих проблем пользователи MyVisit столкнулись с невозможностью записи на получение госуслуги на ближайшие дни – можно было записаться только на полгода вперед, поскольку все слоты внезапно оказались заняты – их путем взлома сайта забронировали мошенники с целью перепродажи.
На фоне этого как грибы после дождя стали появляться десятки нелегальных организаций, предлагающих организовать запись на получение услуги не через полгода, а через несколько дней, но за деньги. Все эти организации имеют одинаковые характеристики: они незаконны, у них черная касса, они не дают никаких гарантий и они рекламируются в Telegram.
Леонид Голденберг выявил огромный список недочетов MyVisit, благодаря которому на нем паразитируют мошенники, и первый – это общая организация его работы. MyVisit – это клиентская часть общей системы Qnomy, которая обращается к серверной Q-Flow, равно как и другие продукты Qnomy.
При оформлении заявки на посещение госведомства через MyVisit обязательно нужно указывать номер ТЗ (удостоверения личности). Однако алгоритмы сервиса проверяют лишь валидность номера, но не подлинность, что позволяет вводить в это поле любой произвольный номер, сгенерированный при помощи доступных в Сети специализированных приложений.
Третья проблема MyVisit – возможность регистрации бесконечного конечного посещений на один номер телефона. Этим и пользуются мошенники, бронируя на себя все свободные слоты, а потом перепродавая их обычным гражданам за деньги.
Четвертая проблема – для бронирования места в очереди через мобильное приложение MyVisit не нужно регистрироваться, достаточно просто указать номер телефона. Это тоже на руку продавцам мест в очереди.
Регистрироваться не нужно и для проверки свободных слотов, и ограничений на такие проверки тоже нет.
Леонид Голденберг подчеркнул, что разработчики MyVisit совершенно не позаботились о безопасности своего сервиса. Код мобильного Android-приложения открыт для всех – оно написано на JavaScript, не имеет защиты и может быть открыто в любом современном редакторе. Не лучшим образом с защитой обстоят дела и у серверной части проекта – Q-Flow API.
Все это привело к наплыву программистов, наплодивших многочисленных ботов, которые в автоматическом режиме ищут свободные слоты для записи на MyVisit и тут же бронируют их. Код многих ботов открыт и выложен на GitHub (принадлежит Microsoft).
Как пишет разработчик Матвей Кукуй в своем Telegram-канале, информация о происходящем с MyVisit дошла до властей далеко не сразу. Они «прозрели» лишь через полгода после первых случаев мошенничества – к тому моменту израильтяне стали массово оставаться без загранпаспортов, не имея возможности записаться на прием в госведомство.
Власти тут же привлекли полицию, но она смогла задержать лишь несколько мошенников. Этого хватило на несколько дней – на место арестованным пришли другие желающие заработать на MyVisit, и проблема с отсутствием свободных слотов в очередях возникла вновь.
Бороться с мошенниками решили хорошие программисты – по словам Матвея Кукуя, они создали несколько Telegram-ботов, ищущих свободные слоты и позволяющих занять их, не требуя взамен денег. Рост их популярности был молниеносным – на них подписались десятки тысяч человек, что сделало их бесполезными.
В настоящее время полиция следит за работой MyVisit и регулярно удаляет несколько сотен тысяч оформленных заявок на бронирование. Но это очень временное решение – спустя час, пишет Матвей Кукуй, все слоты вновь оказываются заняты.
«О чем эта вся история? Мне кажется, о том, как один безрукий бэкенд-программист может создать национальный спорт и сделать 10 млн человек профессиональными игроками. Ну, либо, сиди без загранника», – подытожил Матвей Кукуй».
Леонид Голденберг в своем блоге привел несколько последствий, к которым привела проблема с MyVisit. В их числе – проблемы с репатриацией эмигрантов, которые вынуждены «пребывать в подвешенном состоянии, находясь в бесконечных очередях в попытках получить свои документы», пишет Голденберг.
Также он обратил внимание на то, что MyVisit и то, как он работает, приводит к росту теневой экономики в стране. И все это выливается в общественное недовольство, поскольку некачественный интернет-сервис не позволяет им получить доступ к госуслугам.
В Telegram существуют чаты, в которых людям, пытающимся назначить очередь в государственные ведомства – такие, как министерство алии и интеграции и Управление регистрации населения, предлагают назначить очередь за деньги.
Очереди стоят, в зависимости от срочности и ведомства, от 300 долларов и выше. В одной из таких групп прямо пишут, что подыскивают очереди "на коммерческих основаниях" и посылают цену уже в личном сообщении.