API-сервери додатку "Дія" знайшли на серверах компанії Amazon
API-сервери додатку "Дія" знаходяться на серверах американської компанії Amazon.
На даний факт звернув увагу Software Architect в Prozorro Володимир Фльонц.
Публічний сервіс зворотного IP-пошуку viewdns.info асоціює з веб-адресою api.diia.gov.ua дві IP адреси: 35.156.119.246 і 35.156.54.49.
У свою чергу whois сервіс веб-ресурсу whoer.net говорить про те, що IP адреси 35.156.119.246 і 35.156.54.49 фізично розташовані в місті Франкфурт-на-Майні (Німеччина) і належать організації Amazon Technologies Inc.
У коментарі до публікації Фльонца IT директор Офісу Президента Єгор Папишев спростував, що сервери додатку "Дія" знаходяться на серверах американської компанії Amazon. Представник Міністерства цифрової трансформації Олексій Вискуб нагадав, що проєкт "Дія" розміщений в "хмарі" оператора хмарних сервісів De Novo.
У свою чергу, в коментарі ЕП експерт в сфері інформаційної безпеки Микита Книш таким чином прокоментував виявлення API-сервера додатку "Дія" на серверах компанії Amazon:
"Що таке API? Це програмний інтерфейс програми. У випадку "Дії" - це інтерфейс, через який додаток "Дія" на iPhone спілкується зі своїм основним сервером і цей сервер знаходиться на Аmazon. На питання, чи є на Аmazon персональні дані і паспорти, я відповісти не можу. На Аmazon може бути і проксі-сервер або просто тунель, тобто проміжний. Але в будь-якому випадку через сервери на Amazon передається конфіденційна інформація, яка зашифрована в каналі зв'язку і розшифровується вже в "Дії".
Я думаю, що вони (розробники "Дії" - ЕП) використовують сервери Amazon для того, щоб дуже швидко масштабувати навантаження, щоб програма не "впала", так як на Amazon більш надійний сервіс з точки зору відмовостійкості".
Нагадаємо, коментуючи ситуацію з появою 11 травня телеграм-бота, який поширював персональні дані українців, представник Міністерства з питань цифрової трансформації заявив:
"Всі сервери мобільного додатка "Дія" знаходяться в Україні. Тобто жодна інформація про користувачів не йде за кордон. Серверна частина системи розгорнута в хмарній інфраструктурі, яка має необхідні сертифікати безпеки, в тому числі КСЗІ. "Дія" пройшла ряд позитивних аудитів - як приватних, так і державних (ДССЗЗІ)".
Раніше міністр цифрової трансформації Михайло Федоров також запевняв, що всі дані користувачів "Дія" знаходяться в Україні, а також пояснював, що для захисту від DDOS-атак використовується інфраструкутура компанії Amazon.
"Усі сервери мобільного застосунку "Дія" знаходяться в Україні. Тобто ніяка інформація про користувачів не йде за кордон. Серверна частина системи розгорнута у хмарній інфраструктурі нашого партнера – компанії De Novo, що має необхідні сертифікати безпеки", - зазначається в колонці Федорова на "Українській правді".
"Єдиний раз, коли ми залучили закордонну компанію – лише для захисту від атак розподіленого доступу (DDOS-атак). Для цього ми використовуємо інфраструктуру компанії Amazon, яка частково розташована в Німеччині", - додав він.
Рекомендуємо почитати: Держреєстри потекли: хто "зливає" персональні дані українців і що з цим робити
Михайло Федоров. Застосунок "Дія": захист персональних даних і безпека
Всеволод Некрасов, ЕП