Кібербезпека, BankID-шахрайство та DefTech-бум: новини ІТ-світу

У світі, де швидкість технологічних змін вимірюється щомісяця, критично важливо розуміти, як інновації впливають на безпеку, економіку та ринок праці. У відеоогляді на YouTube-каналі DOU, присвяченому ключовим подіям ІТ-світу, йшлося про цілу низку важливих тем: від розкриття злочинної схеми, що скомпрометувала державний застосунок «Дія» через BankID, до аналізу технічного фіаско провідного українського банку. Ми підготували короткий виклад найважливішого.

Кібербезпека державних сервісів: уроки BankID та «злочинці в Дії»

Служба безпеки України та Офіс генерального прокурора виявили та знешкодили організовану злочинну групу, яка отримувала несанкціонований доступ до банківських акаунтів громадян, а потім використовувала цей доступ для авторизації в застосунку «Дія» через BankID. Черговість атаки була такою: спочатку зловмисники отримували доступ до системи BankID (або до банківського рахунку), після чого авторизувалися в «Дії» і там вже могли здійснювати зловмисні дії.

Цей інцидент виявив два принципові питання, особливо архітектурного характеру. По-перше, отримання доступу до BankID автоматично надає доступ до всіх державних сервісів, при цьому валідацію особи проводить лише банк. По-друге, в Україні жоден із великих банків не пропонує своїм клієнтам можливість використовувати зовнішні OTP-сервіси або апаратні токени для додаткової авторизації. Це означає, що перехоплення SMS-повідомлень, які виступають другим фактором, є можливим і є не найкращою світовою практикою безпеки.

Особлива вразливість стосувалася самої процедури створення BankID: деякі банки дозволяють шахраям створити новий BankID на чуже ім’я, якщо їм відомі паспортні дані та номер рахунку, а на рахунку немає активного облікового запису BankID.

Прикладні рекомендації для захисту:

Технічні фіаско та урок стабільності: «Лимонний DDoS» Monobank

Підписуйтеся на наші соцмережі

Маркетингова акція «Лимони», запущена Monobank, обернулася тривалою нестабільною роботою основного банківського застосунку, що тривала понад добу. Це сталося через масовий наплив користувачів (за оцінками, близько 70% активної клієнтської бази, або понад 2,5 мільйона людей), які одночасно почали взаємодіяти з неосновними сервісами.

Технічний аналіз вказує, що такий наплив призвів до перевантаження неочікуваних або невідмасштабованих сервісів, спричинивши внутрішній DDoS. Стабільність Monobank, як одного з ключових гравців на фінансовому ринку, є важливим елементом економічної безпеки країни. Обговорювалося, що Національний банк України мав би звернути увагу на цей інцидент і запустити відповідне розслідування.

Висновок для бізнесу: Якщо маркетингова кампанія спрямована на залучення мільйонів користувачів, необхідна ретельна технологічна підготовка та стрес-тестування всіх, навіть неосновних, вузлів системи, щоб не допустити дестабілізації критично важливих фінансових послуг.

Динаміка ринку праці: DefTech-бум і консолідація ІТ

Український ринок праці в секторі оборонних технологій (DefTech) переживає справжній бум. Кількість вакансій зросла у двадцять разів за останні два роки: з приблизно 80 до 1600. Це призвело до зниження конкуренції за кадри (кількість відгуків на вакансію впала з 15-18 до 8-9), що дає кандидатам більше можливостей вибору.

Найбільший попит зосереджений у сферах Hardware (329 відкритих вакансій), Embedded-розробки, Project Management та AI/ML. Цікавою є тенденція: роботодавці демонструють більший попит на кандидатів із досвідом до року, аніж на спеціалістів із досвідом понад п'ять років. Це свідчить про готовність DefTech-компаній інвестувати у навчання та розвиток молодих, нових кадрів. Географічно ринок сконцентрований у Києві, але близько 15% вакансій пропонують віддалену роботу.

На тлі цього буму продовжується консолідація в глобальному ІТ: компанія airSlate оголосила про скорочення близько 170 фахівців, що є частиною загальносвітової тенденції до оптимізації та підвищення ефективності.

Криптобезпека та етика ШІ: атаки через тестові завдання

Кібергігієна виходить за межі банківських додатків і стосується навіть процесу пошуку роботи. Інженер Девід Дода повідомив про спробу викрадення криптовалюти під час проходження співбесіди на вакансію у компанії Symfa. Схема була витонченою: головний блокчейн-офіцер надіслав тестове завдання, яке містило код, що при запуску мав зв'язатися з Base64-закодованим URL, завантажити шкідливий код і викрасти з локального комп’ютера всі дані, що стосуються криптовалюти (ключі, пасфрейзи).

Практичні поради для розробників:

Тим часом, у сфері ШІ, Сем Альтман (OpenAI) анонсував можливість додавання функції «еротичного режиму» для ChatGPT. Це рішення йде врозріз із його попередніми застереженнями щодо надмірної емоційної прив'язаності людей до моделей ШІ. Критики вважають, що такий крок може бути зумовлений необхідністю usage maxing — витискання з користувачів часу для звітів інвесторам, і є реакцією на конкуренцію, зокрема з Grok Ілона Маска, та падіння темпів набору підписників GPT+.

Падіння якості ПЗ та нові прориви ШІ-моделей

На тлі етичних дилем постає проблема зниження якості програмного забезпечення. У статті «Велике падіння якості програмного забезпечення» з блогу From the trenches наведено безліч прикладів, які показують, як якість ПЗ постійно знижується. Серед них: калькулятор Apple, який використовував 32 ГБ пам’яті, та Teams, що споживав 100% CPU. Штучний інтелект, на думку автора, є не причиною, а лише черговим прискоренням цієї негативної траєкторії. Це усвідомлення має стати закликом до розробників підвищувати стандарти якості.

Підтвердженням необхідності критичної перевірки даних є інцидент у суді Нью-Йорка: юриста, якого звинуватили у цитуванні неіснуючих документів, згенерованих ШІ, під час захисту своєї позиції знову використав ШІ і повторив ті самі помилки.

Проте, технологічні прориви в галузі ШІ також вражають. Anthropic випустила модель Claude Haiku 4.5, найменшу у своєму сімействі, яка працює на рівні попередньої Sonet 4. Вона стала удвічі швидшою та втричі дешевшою за попередню Haiku. Сукупне покращення ефективності (швидкість та ціна) становить до шести разів за п’ять місяців. Це робить її ідеальною для високошвидкісних застосувань, наприклад, для автокомпліту в редакторах коду, де ціна за 1 мільйон токенів є однією з найнижчих на ринку.

Космічні та апаратні інновації: Starship, Starlink і Apple

Космічні технології продемонстрували значний прогрес. SpaceX представила новий супутник Starlink V3, який матиме вдесятеро більшу пропускну здатність порівняно з V2. Загальна пропускна здатність на канал досягатиме 1 ТБ, а максимальна швидкість для одного користувача — 1 Гбіт/с. Через великий розмір V3 зможе виводитись на орбіту тільки на Starship.

Це підкреслює успіх останнього тестового польоту Starship V2, який виконав усі ключові завдання: здійснив зліт, вийшов на орбіту, бустер повернувся, випустив симулятори Starlink, а Starship успішно увійшов в атмосферу, виконавши «беліфлоп» в Індійському океані без втрати теплового щита. Наступні цілі Starship V3 — це повернення на сушу та маневри з дозаправкою на орбіті, що є критичним етапом для місій на Марс і Місяць.

На ринку персональних пристроїв Apple провела еволюційне оновлення чіпів M5. Приріст продуктивності становить 10–15% порівняно з M4, а основний акцент зроблено на графіці (до 60% приросту в іграх із Ray Tracing) та оптимізації роботи зі штучним інтелектом. Оновлення торкнулося MacBook Pro, iPad Pro та Apple Vision Pro. Також Apple спростила назву стрімінгового сервісу Apple TV Plus до просто Apple TV, що тепер позначає три різні продукти. Серед суперечливих змін — плани компанії в деяких країнах Європи припинити класти блок для зарядки у комплект MacBook Pro, залишаючи лише кабель Type-C.

Цей матеріал підготовлений на основі інформації з відкритих джерел. Редакція самостійно відбирає ключові факти, аналізує їх та структурує за допомогою AI-інструментів.