Проблемы с заказом очередей в МВД и другие госучреждения Израиля: причины, расследование, комментарии

Еще в период коронавирусного кризиса в Израиле возникла проблема с заказом очередей в Управление регистрации населения при МВД для продления или получения загранпаспорта или "теудат зеута". Сначала нехватка очередей объяснялась тем, что после открытия границ вырос спрос на продление загранпаспортов. Потом – после начала полномасштабной войны в Украине – это было вызвано потоком людей из Украины, России и Беларуси, прибывавших как в статусе новых репатриантов, так и без этого статуса. В МВД пытались решить проблему разными способами – гражданам разрешили летать по иностранным паспортам, продлевали срок действия загранпаспорта и так далее. Но очереди от этого не сокращались.

Проблема коснулась как граждан Израиля, так и новых репатриантов, еще не получивших гражданства. Для последних проблема стоит гораздо острее, поскольку без удостоверения личности они зачастую не могут даже снять квартиру на длительный срок.

MyVisit

В 2013 году в Израиле появился сайт MyVisit, предназначенный для онлайн-заказов очередей в государственные ведомства. Сайт и приложение MyVisit разработала компания Q-nomy, выигравшая государственный тендер. Первые годы существования сайта он был только одним из вариантов заказа очереди. В тот же МВД можно было прийти и попасть на прием в порядке "живой" очереди. Но во время пандемии эта возможность исчезла, и в последние несколько лет очередь можно заказать только через MyVisit. Именно с тех пор в Израиле стало практически невозможно заказать очередь на получение услуг в Управлении регистрации населения.

В декабре 2022 года Леонид Голденберг в своем телеграмм-канале "Голденберг говорит" рассказал, с чем связана эта проблема.

Расследование Голденберга

Леонид Голденбег приехал в Израиль в 2019 году. Свою репатриацию, как рассказывает Леонид, он начал с конфликта с министерством алии и интеграции, от которого новый репатриант добивался получения ваучера на обучение в ульпане. С тех пор Леонид занимается в основном помощью другим новым репатриантам, составляя описания того, как пройти в Израиле те или иные бюрократические процессы. Кроме этого, как заявил Голденберг редакции NEWsru.co.il, он занимается социологией и политологией.

Поскольку телеграмм-канал "Голденберг говорит" призван, в том числе, помогать новым репатриантам решать бюрократические проблемы, Леонид начал разбираться в происходящем с очередями и пришел к выводу, что они действительно все заняты на полгода вперед, только не людьми, а ботами. Эти боты были созданы аферистами, чтобы потом продавать очереди людям, которым они нужны.

Как обнаружил Голденберг, очереди продаются через телеграм-каналы, и не только русскоязычные. Такие каналы есть на иврите, английском и французском.

Проверка, проведенная нашей редакцией, показала, что связаться с аферистами очень просто. Очереди стоят, в зависимости от срочности и ведомства, от 300 долларов и выше. В одной из таких групп, куда обратился наш журналист, прямо пишут, что подыскивают очереди "на коммерческих основаниях" и посылают цену уже в личном сообщении. Деньги за эти услуги предлагается перевести на карту в иностранном банке.

После того, как Леонид Голденберг опубликовал свое расследование (в декабре 2022 года), эту информацию перепечатали в ряде русскоязычных израильских СМИ, однако никакой реакции властей не последовало.

Редакция NEWSru.co.il тогда обратилась в министерство алии и в Управление регистрации населения (два ведомства, в которые, согласно нашей проверке, особенно активно продают очереди аферисты) с просьбой прокомментировать эту информацию. Из обоих ведомств ответили, что не получали на это "конкретных" жалоб. В полиции также заявили, что никаких жалоб не получали и ничего об этом не знают. Так было в декабре, а в апреле ситуация "неожиданно" изменилась.

Изменилась она, в частности, благодаря усилиям Леонида Голденберга.

"Когда никакой реакции властей не последовало, я начал готовить большую публикацию на английском, а когда вышла публикация, учитель английского языка Дин записал об этом видео в TikTok. После этого видео статья стала еще сильнее распространяться по LinkedIn, а я написал генеральному директору компании Q-nomy с просьбой прокомментировать эту проблему. Его ответ можно резюмировать следующей фразой: "Касаемо мошенников идите в полицию, касаемо МВД – идите в МВД". Мои источники в компании Q-nomy рассказали, что компания не планирует чинить MyVisit, поскольку приложение настолько плохо работает, что чинить его не имеет смысла. Однако компания разрабатывает новое приложение", – рассказывает Голденберг.

После того, как новая статья Леонида привлекла внимание англоязычных и ивритоязычных СМИ, в Управлении регистрации населения вдруг "обнаружили" эту проблему, заявив, что ранее о ней этому государственному ведомству ничего не было известно.

В середине апреля Управление регистрации населения сообщило, что они отследили телефонные номера, на которые были записаны очереди, и удалили пять тысяч очередей из тех, которые были ранее забронированы на сайте или в приложении MyVisit мошенниками с целью продажи. Еще через две недели, 24 апреля, в Управлении заявили, что "освободили" еще полторы тысячи очередей.

Однако среди этих тысяч аннулированных очередей были и очереди, действительно заказанные для себя гражданами страны, а не ботами мошенников. Об этом сообщили нашей редакции как сами люди, у которых пропали очереди, заказанные за много месяцев до того, как в Управлении решили бороться с мошенниками таким образом, так и адвокаты, к которым этим людям пришлось обращаться за помощью.

В Управлении регистрации населения в ответ на запрос нашей редакции утверждают, что ни одна из аннулированных очередей не принадлежала реально заказавшим очереди людям.

После выхода статьи Леонида в LinkedIn ему начали приходить угрожающие письма, а потом, по его словам, на его телеграм-канал была организована спам-атака и его пытались заблокировать. Однако и канал, и Леонид до сих пор работают.

Проверка специалиста

Редакция NEWSru.co.il побеседовала с Беньямином Гинзбургом, инженером ПО, который вместе с Леонидом Голденбергом пытался выяснить, каким образом аферистам удалось полностью перехватить бронирование очередей в приложении MyVisit.

Чтобы назначить очередь через MyVisit, достаточно ввести номер телефона и номер удостоверения личности ("теудат зеута"). Перед этим один раз требуется пройти "капчу". И процесс, как объясняет Беньямин, крайне легко автоматизировать.

Прежде всего, это касается номера телефона и удостоверения личности. На один номер телефона можно заказать множество очередей. Само по себе, как объясняет Гинзбург, это не представляет проблемы. Тем более, что пользователь зачастую действительно хочет заказать очереди не только для себя, но и для других членов семьи, например. С номером удостоверения личности история сложнее. По словам Гинзбурга, система защиты MyVisit проверяет эти номера только на их "легитимность". Номер удостоверения личности состоит из девяти цифр, которые должны быть расположены некоторым "законным" образом, есть простая математическая формула, которая это проверяет. Однако то, что такой номер удостоверения личности действительно существует, система не проверяет совсем. То есть, очень простая программа может сгенерировать бесконечное количество номеров, которые могут быть номером "теудат зеута", который система примет.

При этом в MyVisit, по словам Гинзбурга, отсутствует полноценная защита от автоматизации. Есть только минимальная защита – "капча". В MyVisit она есть, но у нее два изъяна. Во-первых, она сделана по старой технологии, когда просто нужно ввести в поле легко читаемые буквы и цифры. Сегодня технологии машинного зрения находятся на таком этапе развития, что очень легко написать программу, которая будет распознавать "капчу" автоматически. Поэтому сегодня "капчу" делают сложнее и она требует от пользователя действий. Например, нажать на кнопку "я не робот" или выделить "все фотографии со светофорами". Кроме того, "капча" вводится в MyVisit всего один раз, а не каждый раз, когда пользователь ищет очередь. "Капча есть, но ни от чего не защищает", – говорит Беньямин.

Поэтому злоумышленникам легко автоматизировать процесс, написав программу, которая введет нужные данные и забронирует очередь. Продать ее потом тоже несложно. Заказчик говорит, в каком отделении и на какую дату ему нужна очередь, "продавец" проверяет свой список очередей, отменяет нужный слот и тут же блокирует его уже на нужный номер удостоверения личности. Гинзбург отмечает, что продавцы обычно не гарантируют вам очередь на точную дату, поскольку в ту секунду, когда очередь отменяется, ее случайно могут занять.

"Когда пишется код сервиса для интернета, существуют определенные стандарты и практики того, как защитить этот сервис от очевидных угроз. В данном случае, например, система, очевидно, позволяет запрашивать свободные слоты и их бронировать. Обычно сервисы, работающие с личными данными, от этого защищены, и если получают множество запросов с одного IP-адреса, этот адрес просто блокируется", – объясняет Беньямин.

По словам Гинзбурга, есть и другие косвенные свидетельства того, что создатели MyVisit отнеслись к защите сервиса небрежно.

Беньямин рассказывает, что приложение MyVisit для Android сделано так, что его легко открыть и посмотреть исходный код. Само по себе, по словам Гинзбурга, это не страшно, так часто бывает, но проблема в том, что это просто одна из деталей.

"Я не могу сказать, что эта система не защищена совсем. Примерно год назад какие-то ивритоязычные энтузиасты сделали такого бота с открытым исходным кодом, чтобы им мог пользоваться любой желающий. По понятным причинам они стали очень популярны, и их довольно быстро заблокировали. Если исходить из моих экспериментов с этой системой, то нельзя сказать, что они совсем не озаботились вопросами безопасности, но твердо можно сказать, что есть большое несоответствие между тем, насколько серьезные услуги оказывает этот сервис, и тем, как он защищен. Это ведь не приложение, которое вам кока-колу доставляет. И трагедия в том, что тут даже взламывать ничего не нужно, такой бот может сделать любой старшеклассник, знакомый лишь с азами программирования", – говорит Гинзбург.

Официальные комментарии

Тендер на сервис MyVisit был объявлен в 2013 году, и его выиграла дочерняя компания Q-nomy – Callflow. Все подробности и документы о тендере находятся на сайте управления госзакупок.

Редакция NEWSru.co.il неоднократно обращалась за комментариями в компанию Q-nomy, однако безрезультатно.

В министерстве финансов, которое отвечает за госзакупки, в ответ на запрос нашей редакции заявили, что компании, выигравшие государственный тендер, обязаны гарантировать качество своих услуг, однако все утверждения о том, что система MyVisit не защищена от автоматизации и таким образом не соответствует требованиям, являются неверными.

В пресс-службе минфина также отметили, что клиентами тендера являются "министерства правительства", которые и отвечают за связь с компанией-поставщиком и за контроль над его работой.

Поскольку основным клиентом создателя MyVisit является Управление регистрации населения, мы вновь обратились в Управление с просьбой прокомментировать создавшуюся ситуацию.

В пресс-службе Управления нам сообщили, что "с той минуты, когда началось использование ботов" (как мы уже отмечали, это началось как минимум несколько лет назад, однако в Управлении, несмотря на запросы, решили обратить на это внимание только в апреле 2023 года), в Управлении регулярно проверяют телефонные номера, на которые заказываются очереди, и аннулируют все очереди, которые были заказаны на один и тот же номер. В Управлении отрицают, что в рамках этого процесса могли быть аннулированы очереди, заказанные законным образом.

В Управлении также заявляют, что для "улучшения качества услуг" было разработано новое приложение GoVisit для заказа очередей. Приложение было, согласно заявлению Управления, разработано не Q-nomy, а национальным цифровым агентством. В настоящий момент на этом сайте предоставляются услуги только министерства транспорта, однако в Управлении регистрации населения заявляют, что в ближайшем будущем (точных сроков нет) там можно будет заказать очереди и к ним – на продление или заказ загранпаспортов, удостоверений личности и так далее.