Не знаю, смішна ця історія чи сумна – але розкажу.
16 жовтня 2025 на прямому ефірі “ Суспільного ” я заявив чесно та відкрито: “Дія є найбільшою технологічною аферою за всю історію України”.
Ведуча трохи злякалася, але пообіцяла надати етер представнику мінцифри для висловлення своєї позиції.
Зазвичай я скептичний до таких обіцянок, оскільки ще ні разу за останні 6 років ніхто з мінцирку не наважувася публічно коментувати мої твердження.
Але цього разу шось у лісі здохло і вже наступного дня, 17 жовтня 2025 на етер Суспільного прийшов “представник мінцифри” – шоб прокоментувати і 286 випадків зламу Дії, і мою “гучну заяву”.
А далі почалися суцільні приколи.
По-перше, звати того хлопця Олексій Вовк і він “керівник команди проектних менеджерів та впровадження дії”, щоб це не значило.
В ієрархії мініцифри це десь приблизно як голова райдержадміністрації: -надцятий рівень після Божественного.
По-друге, його попросили прокоментувати 286 випадків “лівої” авторизації в Дії та оформлення на жертв кредитів – про що офіційно повідомила Нацполіція.
У відповідь пан Вовк розказує про якісь космічні кораблі, які шось там бороздять: “Дія супер-надійна”, вона “не зберігає дані користувача”, “безпека закладається з етапу проектування”, команда кібербезпеки працює цілодобово”, а код додатку – відкритий. Ну тобто розказав про все – крім того, про що спитали.
А про “відкритий код” – це точно 100% брехня, ось.
Як і про “безпека закладається з етапу проектування”. Коли Дія проектувалася – на неї взагалі не було жодних документів.
Тобто пан Олексій впевнено говорив про те, про ще не має зеленого поняття.
Це приблизно якби гінеколог консультував би з питань нейрохірургії серця.
По-третє: йому показали відео з моєю заявою і попросили прокоментувати. У відповідь знов полився мед про “наші сучасні практики” та “велику увагу безпеці”.
А винуваті у 286 несанкціонованих входах у Дію, на думку пана Вовка – самі жертви.
Цитата: “Якщо людина знехтувала правилами безпеки і надала шахраю усі необхідні матеріали які тільки можливо, то … шахраї можуть скористатися і ми бачимо ті випадки, про які ви говорите”
Тобто це сигнал усім жертвам подібних шахрайств з Дією: “ви самі винуваті”.
Це не ми створили небезпечний для користувачів продукт.
Не ми ігнорували вимоги безпеки при розробці додатку.
Це не в нас немає клепки продумати усі можливі сценарії використання додатку.
Це не ми вважали “роль кібербезпеки перебільшеною”.
Це все ви, дебіли, винуваті.
Це ви не вмієте користуватися нашим прекрасними творінням і порушуєте “правила” (які, до речі?)
Це ви дискредитуєте своїми фейковими кредитами геніальність задуму.
Це ви списуєте на міфічних шахраїв свою брудні оборудки.
Не існує ніяких “кредитів через Дію” – це все російське іпсо.
Отака офіційна публічна позиція мініцифри. Їжте, не обляпайтеся.
Зрозуміло, що відбріхуватися випхнули якогось лівого чувака, кого не шкода.
Але ж у мініцифрі вже існує аж цілий заступник міністра з кібербезпеки.
Чому він не коментує?
Для тих, хто все ще не зовсім розуміє суть проблеми: концептуальні речі про світоглядні помилки при побудові Дії, її концепції та архітектури – розказували різні фахівці у різний час з 2019 року, ще до запуску додатку.
Наразі більшості з експертів вже позакривали роти: кому погрозами, кому грошима/грантами, кому “бронюванням”. Лишився один я. Але зараз не про це.
Спочатку ми у січні 2022 зібрали усі головні проблеми Дії у дослідженні “22 гріхи Дії” (гугліть). Потім були окремі статті, виступи на конференціях, коментарі, інтерв’ю та ефіри. Хто цікавиться цією темою – той все це пам’ятає.
Але позиція Божественного Міши та його підлеглих ще з 2019 була незмінною та непохитною: “ігнорувати, вальсуємо” (більш відома як “pohuy, пляшем”).
Чому ця монументальна конструкція дала тріщину зараз – мені важко сказати.
Усі ці 6 років я викликав Михайла Федорова на публічні дебати про (не)безпеку Дії – але жодного разу височайша брова навіть не ворухнулася.
Хоча з технічних питань це і не могло бути дискусією рівних: мій професійний рівень на стільки порядків вище Мішиного, наскільки він вищий у академіка ніж у першокурсника.
Але ж можна поговорити про більш доступні зеленому розуму речі: чому такого щастя як “Дія” немає у жодній іншій країні Світу? Чому естонці відмовилися брати “Дію” навіть безкоштовно? Чому досі заперечується злам “Дії” у січні 2022 і відповідний висновок суду Великого Жюрі штату Меріленд (США)? Чому виставлений начебто публічно вихідний код Дії не збирається і не працює? У мене таких питань ще кілька десятків.
Але попри очевидну невідповідність вагових категорій, я все ще не проти публічних дебатів: з Федоровим або з його заступником з кібербезпеки. Або проти обох разом.
Але так само впевнений, що Міша знов сциконе. Як усі “зелені”.
Бо вони хоробрі лише коли опонент прив’язаний до стільця і у нього заклеєно рот.
Чесної конкуренції вони страх як бояться: бо одразу буде видний інтелектуальний рівень гоп-кварталу та повна некомпетентність у тому, чим вони керують.
А вони досі чомусь вважають, що ніхто в Україні про це не здогадується.
P.S.: наприкінці “представник Дії” повідомив у прямому етері, нібито “Дія сертифікована за міжнародним стандартом інформаційної безпеки”.
Це прям орейро. Сертифікат – у студію, будь ласка.
Бо сертифікатів “кібербезпечно” – не існує в принципі. Це неможливо, нонсенс.
Але звідки весільним фотографам знати про кібербез.
Автор: Костянтин Корсун, експерт з кібербезпеки. У 2000-2005 заступник керівника відділу боротьби з комп’ютерною злочинністю при Департаменті контррозвідки СБУ. Засновник та перший керівник CERT-UA. Колишній директор та співзасновник української кібер-компанії; сторінка автора у Фейсбук