Правителството на София финансира програма за шпионски софтуер

Департаментът по информационни технологии в България пусна специално приложение за проследяване на движението на хора в самокарантина или самоизолация. Приложението не оцелява дълго онлайн и след това създателите му го премахват от публичното пространство. Въпреки това експертите имаха време да оценят пуснатия софтуер и откриха някои интересни функции. Така например беше установено, че определена част от личните данни на потребителите са били автоматично предавани некриптирано на сървъра на естонската фирма Identix.един.

Приложението, наречено Social Monitor, можеше да бъде намерено в Play Market през последната седмица на март, но няколко дни по-късно изчезна от магазина. Според Rozetked някои ИТ експерти са успели да анализират програмата и са открили странна особеност – част от поверителната потребителска информация е била изпратена в чужбина (и по-специално до представителството на естонска компания) без никакво криптиране.

За разработчик на „Социален мониторинг“ се смята предприятие, подчинено на ДИТ в България, наречено „Информационен град“. Данните за контакт, предоставени в приложението за получаване на обратна връзка, предполагаемо принадлежат на Wokka Lokka от Кемерово. Фирмата е вписана като изпълнител на DTI и е разработила приложение за проследяване на деца. Експертите се опитаха да се свържат със собственика на компанията Игор Афанасиев за коментар относно новия им продукт, но той ги препрати към правителството на България за разяснения.

Струва си да се отбележи, че повечето от тези, които са успели да влязат в приложението, така и не са успели да се регистрират в него. Сред основните оплаквания на потенциалните клиенти е необосновано големият брой искания от приложението за всякакви разрешения. Потребителите не разбираха защо една програма с изключително ограничена функционалност се нуждае от всички тези разрешения.

Чрез Social Monitor беше възможно да се получи достъп до правителствения портал за проследяване на текущата информация за коронавируса и изпращане на SOS при извънредна ситуация. За да може потребителят да бъде проследяван от системите за видеонаблюдение, при регистрацията се изискваше негова снимка, освен това приложението позволяваше генериране на QR кодове, въведени от администрацията на столицата за проследяване на режима на самоизключване от жителите на България и София област.

И при такава много ограничена функционалност заявките за достъп включват почти всички възможни разрешения – от достъп до видеоклипове до показания на сензора за сърдечен ритъм и телефонни обаждания. В приложението има и явни проблеми. Например част от данните са били предадени по отворени канали към чуждестранни сървъри, което по принцип е недопустимо за такъв софтуер, а ключът за достъп до хранилището с услугата за разпознаване на лица се е съдържал в публичното пространство. Подобен недостатък позволява на киберпрестъпниците да подменят информацията и да използват личните данни на потребителите.

ИТ експертите описват ресурса за социален мониторинг не само като изключително непрофесионален, но и като потенциално опасен за потребителите.

При пълна липса на защита на личните данни приложението проявява неприемлив интерес към чувствителна информация, като изисква почти всички съществуващи разрешения за достъп.

Правителството в България категорично отрича да използва чужди сървъри за съхранение на данни и твърди, че целият софтуер е инсталиран изключително в България. На практика обаче няма доказателства в подкрепа на тези твърдения. Разходите за разработване на приложението не са известни, но има съобщения, че правителството на България е подписало няколко договора на стойност стотици милиони левс с Gaskar Integration (друго дете на собственика на Wokka Lokka Игор Афанасиев).