Киберпреступники построили в Израиле огромный бизнес на государственном портале для бронировании мест в очередях в госучреждения

Сервис, на разработку которого были потрачены госсредства, ежедневно взламывается хакерами, которые потом продают места в очередях.

В первые годы своего существования MyVisit пользоваться им никто не заставлял – вплоть до начала 2020 г. это был своего рода упрощенный аналог российских «Госуслуг», пишет CNews. Но пандемия коронавируса внесла свои коррективы в работу MyVisit – с 2020 г. стал безальтернативным способом записи на прием в учреждения. Чаще всего им пользуются для выпуска биометрических документов, а это – теудат зеут (ТЗ, удостоверение личности) и даркон (загранпаспорт).

В числе тех, кто столкнулся с некачественной работой портала MyVisit оказался репатриант Леонид Голденберг, приехавший в Израиль в 2019 г. и осветивший происходящее с MyVisit в своем блоге на портале Teletype.

Массовые проблемы

Как пишет Голденберг, почти сразу после изменений в 2020 г. сервис не выдержал внезапно возросшей нагрузки. В числе прочих проблем пользователи MyVisit столкнулись с невозможностью записи на получение госуслуги на ближайшие дни – можно было записаться только на полгода вперед, поскольку все слоты внезапно оказались заняты – их путем взлома сайта забронировали мошенники с целью перепродажи.

На фоне этого как грибы после дождя стали появляться десятки нелегальных организаций, предлагающих организовать запись на получение услуги не через полгода, а через несколько дней, но за деньги. Все эти организации имеют одинаковые характеристики: они незаконны, у них черная касса, они не дают никаких гарантий и они рекламируются в Telegram.

Леонид Голденберг выявил огромный список недочетов MyVisit, благодаря которому на нем паразитируют мошенники, и первый – это общая организация его работы. MyVisit – это клиентская часть общей системы Qnomy, которая обращается к серверной Q-Flow, равно как и другие продукты Qnomy.

При оформлении заявки на посещение госведомства через MyVisit обязательно нужно указывать номер ТЗ (удостоверения личности). Однако алгоритмы сервиса проверяют лишь валидность номера, но не подлинность, что позволяет вводить в это поле любой произвольный номер, сгенерированный при помощи доступных в Сети специализированных приложений.

Третья проблема MyVisit – возможность регистрации бесконечного конечного посещений на один номер телефона. Этим и пользуются мошенники, бронируя на себя все свободные слоты, а потом перепродавая их обычным гражданам за деньги.

Четвертая проблема – для бронирования места в очереди через мобильное приложение MyVisit не нужно регистрироваться, достаточно просто указать номер телефона. Это тоже на руку продавцам мест в очереди.

Регистрироваться не нужно и для проверки свободных слотов, и ограничений на такие проверки тоже нет.

Программистам дан «зеленый свет»

Леонид Голденберг подчеркнул, что разработчики MyVisit совершенно не позаботились о безопасности своего сервиса. Код мобильного Android-приложения открыт для всех – оно написано на JavaScript, не имеет защиты и может быть открыто в любом современном редакторе. Не лучшим образом с защитой обстоят дела и у серверной части проекта – Q-Flow API.

Все это привело к наплыву программистов, наплодивших многочисленных ботов, которые в автоматическом режиме ищут свободные слоты для записи на MyVisit и тут же бронируют их. Код многих ботов открыт и выложен на GitHub (принадлежит Microsoft).

Власти бессильны

Как пишет разработчик Матвей Кукуй в своем Telegram-канале, информация о происходящем с MyVisit дошла до властей далеко не сразу. Они «прозрели» лишь через полгода после первых случаев мошенничества – к тому моменту израильтяне стали массово оставаться без загранпаспортов, не имея возможности записаться на прием в госведомство.

Власти тут же привлекли полицию, но она смогла задержать лишь несколько мошенников. Этого хватило на несколько дней – на место арестованным пришли другие желающие заработать на MyVisit, и проблема с отсутствием свободных слотов в очередях возникла вновь.

Бороться с мошенниками решили хорошие программисты – по словам Матвея Кукуя, они создали несколько Telegram-ботов, ищущих свободные слоты и позволяющих занять их, не требуя взамен денег. Рост их популярности был молниеносным – на них подписались десятки тысяч человек, что сделало их бесполезными.

В настоящее время полиция следит за работой MyVisit и регулярно удаляет несколько сотен тысяч оформленных заявок на бронирование. Но это очень временное решение – спустя час, пишет Матвей Кукуй, все слоты вновь оказываются заняты.

«О чем эта вся история? Мне кажется, о том, как один безрукий бэкенд-программист может создать национальный спорт и сделать 10 млн человек профессиональными игроками. Ну, либо, сиди без загранника», – подытожил Матвей Кукуй».