API-сервера приложения “Дія” нашли на серверах Amazon
API-сeрвeрa прилoжeния “Дія” нaxoдятся нa серверах американской компании Amazon. На данный факт обратил внимание Software Architect в Prozorro Владимир Фльонц.
Публичный сервис обратного IP-поиска viewdns.info ассоциирует с веб-адресом api.diia.gov.ua два IP адреса: 35.156.119.246 и 35.156.54.49.
В свою очередь whois сервис веб-ресурса whoer.net говорит о том, что IP адреса 35.156.119.246 и 35.156.54.49 физически расположены в городе Франкфурт-на-Майне (Германия) и принадлежат организации Amazon Technologies Inc.
В комментарии к публикации Фльонца IT директор Офиса Президента Егор Папышев опроверг, что сервера приложения “Дія” находятся на серверах американской компании Amazon. Представитель Министерства цифровой трансформации Алексей Выскуб напомнил, что проект “Дія” размещен в “облаке” оператора облачных сервисов De Novo.
В свою очередь, эксперт в сфере информационной безопасности Никита Кныш таким образом прокомментировал обнаружение API-сервера приложения “Дія” на серверах компании Amazon:
“Что такое API? Это программный интерфейс приложения. В случае “Дія” — это интерфейс, через который приложение “Дія” на iPhone общается со своим основным сервером и этот сервер находится на Аmazon. На вопрос, есть ли на Аmazon персональные данные и паспорта, я ответить не могу. На Аmazon может быть и прокси-сервер или просто тоннель, то есть промежуточный. Но в любом случае через сервера на Amazon передаётся конфиденциальная информация которая зашифровывается в канале связи и расшифровывается уже в “Дія”.
Я думаю, что они (разработчики “Дія”) используют сервера Amazon для того, чтобы очень быстро масштабировать нагрузку, чтобы приложение не “упало”, так как на Amazon более надежный сервис с точки зрения отказоустойчивости”.
Напомним, комментируя ситуацию с появлением 11 мая телеграм-бота, который распространял персональные данные украинцев, представитель Министерства по вопросам цифровой трансформации заявил:
“Все серверы мобильного приложения “Дія” находятся в Украине. То есть никакая информация о пользователях не идет за границу. Серверная часть системы развернута в облачной инфраструктуре, которая имеет необходимые сертификаты безопасности, в том числе КСЗИ. “Дія” прошла ряд положительных аудитов — как частных, так и государственных (ГСССЗИ)”.
Ранее министр цифровой трансформации Михаил Федоров также уверял, что все данные пользователей “Дия” находятся в Украине, а также объяснял, что для защиты от DDOS-атак “Дия” использует инфраструкутура компании Amazon.
“Все серверы мобильного приложения “Дия” находятся в Украине. То есть никакая информация о пользователях не идет за границу. Серверная часть системы развернута в облачной инфраструктуре нашего партнера — компании De Novo, которая имеет необходимые сертификаты безопасности”, — отмечается в колонке Федорова на “Украинской правде”.
“Единственный раз, когда мы привлекли зарубежную компанию — только для защиты от атак распределенного доступа (DDOS-атак). Для этого мы используем инфраструктуру компании Amazon, которая частично расположена в Германии”, — добавил он.