A government app should not be judged by the same privacy and dependency standard as a shopping app.

Citizens are not test users.

When public communication is delivered through software, the public inherits that software’s trust assumptions and telemetry model whether they understand them or not.

Official should mean more restraint, not less.

#CyberSecurity #Privacy #AppSec #DigitalTrust

We warn people not to trust apps that ask for too much, reveal too little, and depend on systems they do not control.

That lesson should not disappear because the icon carries an official seal.

I wrote a new piece on why government apps should be held to a higher standard than ordinary commercial software, because citizens are not test users and public trust is not a product-growth strategy.

#CyberSecurity #AppSec #Privacy #DigitalTrust

0.0006 PKOIN

Личный кейс (Bastyon):

В мае 2022 года я развернул полноценную ноду с кошельком — было 911 PK. Всё работало стабильно. К ноябрю 2025 года баланс вырос до 4011 PK.

20 ноября 2025 года в 4 утра все 4011 PK были списаны двумя непроверяемыми транзакциями. Обращения в поддержку и к Сачкову результата не дали. После этого я сделал вывод о критических проблемах безопасности платформы Bastyon и прекратил использование системы как финансового инструмента.

На текущий момент в сети Bastyon заявлено около 400 узлов, но реально полноценно функционируют примерно 140–150. Остальные либо не настроены корректно, либо фактически неактивны. Таким образом, работоспособность сети обеспечивается ограниченным числом узлов, что не соответствует заявляемой степени децентрализации.

Кейс демонстрирует типичную проблему псевдодецентрализованных систем: расхождение между заявленной архитектурой сети и её фактической операционной устойчивостью.

Ключевой момент здесь — не только сам инцидент со списанием средств, а отсутствие верифицируемого разбирательства: если транзакции действительно «непроверяемые» в пользовательском контуре, это означает либо закрытую административную модерацию состояния кошельков, либо компрометацию ключевого уровня подписи/индексации.

Дополнительный фактор — структура сети. При заявленных сотнях узлов критично не общее число, а доля полноценно синхронизированных и валидирующих нод. Если активных меньше половины, система теряет устойчивость к манипуляциям на уровне консенсуса и становится зависимой от ограниченного набора операторов.

В совокупности это переводит платформу из категории «trustless-среды» в модель с частично доверенным центром управления, даже если формально он не декларируется.

Заключение:

Данный кейс указывает на структурный разрыв между декларируемой децентрализацией Bastyon и её фактической реализацией. При низкой доле реально работающих узлов и отсутствии прозрачного механизма расследования спорных транзакций система демонстрирует зависимость от ограниченного числа операторов и непрозрачных процедур.

Инцидент со списанием средств в таких условиях следует рассматривать не как изолированную аномалию, а как симптом архитектурной и организационной уязвимости платформы. Использование системы для хранения значимых финансовых активов в подобной конфигурации несёт повышенный риск.

https://bastyon.com/post?s=7a9807f5c7a3d2640ec9444bb498713693174262deca2b7ba9ee62bf24c18db3&ref=PJ51iZCUEtcVrCj4Wof8Am7FbKLgbAJ7PS

Хэштеги: #Bastyon #PKOIN #криптобезопасность #децентрализация #blockchain #узлы #ноды #cybersecurity #cryptoanalysis #digitaltrust

Last call for NYC School of Data tomorrow, hosted by BetaNYC.

We’re running a hands-on workshop with Helpful Places on #DTPR for #AI and designing for transparency in public systems.

🔍 Making the Invisible Visible: Workshopping a New Open Data Standard for AI Processes

📅 March 28, 2:30pm - 3:30pm EDT

📍 CUNY School of Law, Queens (Room 2-116)

Register here👇 https://nycsodata26.sched.com/event/2I0ou/making-the-invisible-visible-workshopping-a-new-open-data-standard-for-ai-processes

#NYCSoData #CivicTech #DigitalTrust #DTPR