API-сервера приложения “Дія” нашли на серверах компании Amazon

Четверг, 14 мая 2020, 20:55

API-сервера приложения "Дія" находятся на серверах американской компании Amazon. 

На данный факт обратил внимание Software Architect в Prozorro Владимир Фльонц.

Публичный сервис обратного IP-поиска viewdns.info ассоциирует с веб-адресом api.diia.gov.ua два IP адреса: 35.156.119.246 и 35.156.54.49. 

В свою очередь whois сервис веб-ресурса whoer.net говорит о том, что IP адреса 35.156.119.246 и 35.156.54.49 физически расположены в городе Франкфурт-на-Майне (Германия) и принадлежат организации Amazon Technologies Inc. 

В комментарии к публикации Фльонца IT директор Офиса Президента Егор Папышев опроверг, что сервера приложения "Дія" находятся на серверах американской компании Amazon. Представитель Министерства цифровой трансформации Алексей Выскуб напомнил, что проект "Дія" размещен в "облаке" оператора облачных сервисов De Novo.

В свою очередь, в комментарии ЭП эксперт в сфере информационной безопасности Никита Кныш таким образом прокомментировал обнаружение API-сервера приложения "Дія" на серверах компании Amazon:

"Что такое API? Это программный интерфейс приложения. В случае "Дія" — это интерфейс, через который приложение "Дія" на iPhone общается со своим основным сервером и этот сервер находится на Аmazon. На вопрос, есть ли на Аmazon персональные данные и паспорта, я ответить не могу. На Аmazon может быть и прокси-сервер или просто тоннель, то есть промежуточный. Но в любом случае через сервера на Amazon передаётся конфиденциальная информация которая зашифровывается в канале связи и расшифровывается уже в "Дія". 

Я думаю, что они (разработчики "Дія", ЭП) используют сервера Amazon для того, чтобы очень быстро масштабировать нагрузку, чтобы приложение не "упало", так как на Amazon более надежный сервис с точки зрения отказоустойчивости".

Напомним, комментируя ситуацию с появлением 11 мая телеграм-бота, который распространял персональные данные украинцев, представитель Министерства по вопросам цифровой трансформации заявил:

"Все серверы мобильного приложения "Дія" находятся в Украине. То есть никакая информация о пользователях не идет за границу. Серверная часть системы развернута в облачной инфраструктуре, которая имеет необходимые сертификаты безопасности, в том числе КСЗИ. "Дія" прошла ряд положительных аудитов – как частных, так и государственных (ГСССЗИ)".

Ранее министр цифровой трансформации Михаил Федоров также уверял, что все данные пользователей "Дия" находятся в Украине, а также объяснял, что для защиты от DDOS-атак "Дия" использует инфраструкутура компании Amazon.

"Все серверы мобильного приложения "Дия" находятся в Украине. То есть никакая информация о пользователях не идет за границу. Серверная часть системы развернута в облачной инфраструктуре нашего партнера - компании De Novo, которая имеет необходимые сертификаты безопасности", - отмечается в колонке Федорова на "Украинской правде".

"Единственный раз, когда мы привлекли зарубежную компанию - только для защиты от атак распределенного доступа (DDOS-атак). Для этого мы используем инфраструктуру компании Amazon, которая частично расположена в Германии", - добавил он.

Рекомендуем почитать: Госреестры дали течь: кто "сливает" персональные данные украинцев и что с этим делать

Михаил Федоров. Приложение "Дия": защита персональных данных и безопасность

Всеволод Некрасов, ЭП