Close button

Насколько "Дія" причастна к утечке данных

Насколько "Дія" причастна к утечке данных

Личная информация миллионов украинцев оказалась в открытом доступе. Снова. Сначала в этом обвинили приложение «Дия», однако впоследствии силовики заявили: к утечке баз данных могут быть причастны должностные лица Министерства внутренних дел и Государственной миграционной службы, повідомляє Буквы.

Информпространство всколыхнул очередной скандал. На этот раз связанный с продажей персональных данных миллионов украинцев через один из Telegram-каналов. Об этом заговорили 12 мая, когда основатель общественной организации «Электронная демократия» Владимир Фленц попытался использовать этот сервис и по запросу получил свои паспортные и биометрические данные, водительское удостоверение и старые пароли от различных аккаунтов.

«Пару месяцев назад #Минцифра обещала, что сами, без вашего участия, создадут главный идентификатор (в обход Закона про Единый дем.реестр, кстати) благодаря которому объединят д̶в̶а̶д̶ц̶а̶т̶ь̶ ̶к̶о̶л̶е̶ц все реестры страны и наступит цифровое р̶а̶б̶ счастье. Не знаю как у #минцифры — а вот у ребят со скриншота все получилось. Нет, правда, ребята молодцы. Соединили вместе данные гос.реестров, базы новой почты, пароли из вконтакта и linkedin, обильно приправили банковской тайной и результат, как говорится, на табло: Мне показало не только паспортные данные, мои старые пароли (старые, но на тот момент настоящие!) но и данные с биометрических паспортов (включая фото) и вишенка на торте — водительское удостоверение, о котором я даже не догадывался. Даже в “дие” его не показывает, а у ребят в базе — есть», – написал Фленц.

После этого некоторые пользователи соцсетей бросились проверять доступную информацию о себе: кто-то нашел только данные из открытых реестров, другие – устаревшие данные, а кто-то – свое водительское удостоверение конца 2019 года. Сначала в возможном утечки информации обвинили приложение «Дия», разрекламированное правительством. Якобы именно из-за него произошел слив данных. Но впоследствии правоохранители заявили, что к утечке информации из реестров могут быть причастны Министерство внутренних дел и Государственная миграционная служба.

«Следователи Главного следственного управления Государственного бюро расследований начали досудебное расследование по факту утечки информации, содержащей персональные данные граждан Украины и которая была распространена в одном из анонимных телеграмм каналов. По предварительной информации, к утечке персональных данных могут быть причастны должностные лица Главного сервисного центра МВД Украины и Государственной миграционной службы. Досудебное расследование начато по фактам превышения власти или служебных полномочий работниками правоохранительных органов, повлекшее тяжкие последствия и несанкционированный сбыт или распространение информации с ограниченным доступом, причинившее существенный вред, совершенный по предварительному сговору группой лиц (ч. 3 ст. 365 и ч. 2 ст. 361-2 Криминального кодекса Украины)», – сообщила пресс-служба ГБР вечером 13 мая.

Утечки информации

Собственно, история об утечке персональных данных не нова. Последний громкий скандал, связанный с продажей баз данных произошел в феврале 2018 – тогда торговали информацией клиентов Новой почты. Фактически в открытом доступе оказались данные 18 млн людей с разной детализацией: имена, телефоны, серия и номера паспортов, город проживания, электронные адреса.

Вместе с тем следует признать торговля персональными данными существует десятки лет. Еще в начале 2000-х на рынке «Петровка» в Киеве за определенную сумму можно было купить различные базы данных на CD-дисках и узнать место регистрации человека, его домашний телефон, место работы, информацию о движимом или недвижимом имуществе, которое ему могло принадлежать и тому подобное.

«На самом деле торговля базами данных существует с периода, когда компьютер дома был роскошью, а не обычным устройством. Больше всего киевляне помнят книжный рынок «Петровка» – там можно было купить почти любую базу данных. Например, у меня до сих пор где-то должен быть диск, купленный на «Петровке» с базой ГАИ за 2005 год », – рассказывает Буквам активист Украинского киберальянса, специалист по кибербезопасности Андрей Перевезий.

Кроме того, время от времени в открытом доступе оказываются телефоны, адреса, электронные почты различных публичных лиц: чиновников разного уровня, народных депутатов, журналистов. По запросу «купить базу данных» в поисковиках можно найти таблицы с номерами телефонов для спам-рассылок, предложения «пробить» людей по паспортным данным, кредитную историю и тому подобное. Стоимость колеблется от нескольких десятков до нескольких сотен долларов.

Если же говорить о громких утечках информации, то можно вспомнить как несколько лет назад сепаратисты так называемых ДНР и ЛНР опубликовали список журналистов, аккредитованных при Министерстве обороны для работы в зоне Антитеррористической операции. В открытом доступе оказались несколько тысяч мобильных номеров и электронных адресов. Часть журналистов получила угрозы. Правоохранительные органы обещали разобраться с источником утечки. А 2019-го история повторилась, но в меньшем масштабе: тогда группа журналистов после подачи заявок на аккредитацию для работы в зоне Операции объединенных сил начала получать угрозы от сепаратистов.

В контексте защиты данных можно вспомнить об акции украинских хакеров #fucktheresponsibledisclosure, во время которой активисты проявляли уязвимости систем защиты различных государственных структур и открыто об этом сообщали. Скажем, за несколько лет такой работы в открытом доступе нашли разные базы в отношении граждан (вроде списка военнослужащих определенной области) и дыры в защите, которые давали доступ к тем или иным документам. Самое интересное, что для выявления этих проблем было достаточно лишь интернет-браузера.

«Конечно, в частном секторе ситуация значительно лучше. Бизнес в случае утечки несет убытки – репутационные и материальные. А вот в государственных структурах крайних обычно нет. И ситуация будет оставаться неизменной, пока чиновники не начнут персонально отвечать за сохранность данных. И только техническими средствами эту задачу не решить», – объясняет Буквам Андрей Баранович, активист Киберальянсу более известный как Шон Таунсенд.

Его коллега Андрей Перевезий добавляет: сейчас трудно говорить о безопасности персональных данных в принципе.

«Если вы отдаете свои персональные данные государству – их невозможно обезопасить. Так же, когда вы отдаете кому-то свои данные – всегда существует риск того, что доступ к такой информации получат через третьи руки. В то же время особенность хранения персональных данных государством в том, что оно не спрашивает у вас – хотите ли вы, чтобы ваши данные сохранялись. И если государство научится сохранять эту информацию – то и риск утечек станет минимальным. Собственно, если различные государственные структуры хранят ваши данные, то совсем не обязательно, что они попадут в открытый доступ. Хотя, в случае с тем же UA Baza Bot в открытом доступе присутствуют минимум 3 государственных базы данных», – рассказал Перевезий.

Если же говорить в целом, то в Киберальянсе отмечают: ситуация с хранением персональных данных в Украине плачевная. Однако известны случаи, когда коммерческие структуры начали проходить международную сертификацию своих систем безопасности именно по хранению такой информации. Прежде всего это касается компаний, работающих с персональными данными, которые поступают из Европейского союза и попадают под действие GDPR (General Data Protection Regulation – регламент в рамках законодательства ЕС по защите персональных данных всех лиц в пределах ЕС. Также это касается экспорта персональных данных по пределы ЕС – ред.).

Старые-новые утечки

Можно предположить, что анонимный Telegram канал, через который происходит продажа персональных данных, существует длительное время. Сопутствующий канал, который якобы сообщает актуальные новости относительно поступлений обновленной информации, создан в конце марта этого года. Однако в первом же сообщении говорится, что это «наш новый бот». Поэтому логично предположить, что этот бизнес существует в течение нескольких месяцев, а то и лет.

Судя по сообщениям, у владельцев канала есть доступ к базе кредитных историй за 2012-2016 годы, более 100 млн телефонных номеров, в том числе народных депутатов, данные по юридическим лицам (в том числе с базы одного из информационных агентств), базы недействительных и утерянных паспортов, идентификационных номеров физических лиц, аккаунты и пароли к ним в различных социальных сетях и тому подобное. В общем заявлено 900 гигабайт информации. Также они утверждают, что не покупают базы и пользуются открытыми данными.

С начала в возможном утечки и рядовые пользователи, и эксперты по безопасности подозревали приложение «Дия», которое должно объединить различные базы данных и разрешить пользоваться едва ли не всеми возможными документами с помощью смартфона. Правда, администрация «Дни» заверила, что их детище к этому не имеет никакого отношения.

«Вчера телеграмм-бот UA Baza слил базу данных с 26 миллионами водительских удостоверений. Слухи, что к этому причастна «Дия» безосновательны. Это невозможно даже теоретически. Вот почему: «Дия» не имеет базы данных и не накапливает такую информацию; Объемы информации, доступные в боте, в десятки, а то и сотни раз, превышает ту, с которой работает «Дия»: анализ бота свидетельствует об использовании старых баз данных, которые уже не один год доступны в даркнете. Речь идет о базе ПриватБанка, а также других частных баз данных. Например, в боте доступны пароли Вконтакте, Linkedin», – сообщили в своем Telegram-канале администраторы приложения.

Уже 13 мая на защиту «Дни» стал премьер-министр Денис Шмыгаль. Он заявил журналистам, что утечка данных произошла еще полгода назад и не имеет ничего общего с приложением для оцифровки документов.

«То, что вы видите в интернете, это действительно произошло. В связи с этим открыто уголовное производство. Это произошло больше, чем полгода назад, когда были старые реестры данных. Новые реестры полностью защищены», – заявил Шмыгаль и добавил, что« Дия» абсолютно защищенная система.

Здесь стоит отметить, что все возможные утечки информации можно разделить на два условных типа: непреднамеренные и преднамеренные. В первом случае скорее речь идет о персонале, который из-за низкой квалификации или незнания оставляет в открытом доступе различную информацию.

Например, администраторы сайтов государственных структур оставляют доступными и не запароленными для пользователей интернета таблицы с аккаунтами и паролями к своим соцсетям (скажем, как в свое время данные об аккаунте и пароле Twitter МВД Киевской области) или базы данных пенсионеров города.

Во втором же случае речь идет о людях, которые сознательно продают или отдают информацию третьим лицам или взламывают те или иные ресурсы, часто пользуясь низкой квалификацией уже упомянутых администраторов сайтов.

Например, здесь можно вспомнить онлайн-страницы магазинов, которым люди часто оставляют свои персональные данные: мобильные телефоны, электронные адреса, паспортные данные и тому подобное. Поэтому господин Шмыгаль в своем заявлении несколько лукавит, ведь «абсолютно защищенных» систем не может существовать по определению. А источник утечки хоть и трудно, но возможно обнаружить.

«В любом случае возможно проанализировать – а откуда же была утечка. Для этого надо проанализировать массивы данных, выяснить приблизительную дату утечки. В данном случае большинство баз данных прописали сами владельцы Telegram-канала – это база данных Выборы 2014 года, Новая почта 2017 года, База данных Вконтакте 2018 года, открытые данные от Open Data Bot. Но главное – это свежая база данных документов, выданных в декабре 2019-го, январе-феврале 2020-го. Вероятнее всего, это могла быть Дия», – убежден Перевезий.

Он также отмечает, что заявления администрации приложении о том, что оно не имеет собственной базы данных, а потому не причастно к утечке, не выдерживают критики. Поскольку сама «Дия» дает доступ к различным базам данных.

«Если объяснять на пальцах, то все выглядит следующим образом. «Дия» не имеет своей базы данных, это правда. Но она является ключом к различным базам данных. Предположим, у вас есть десяток дверей. И вы делаете универсальный ключ, которым можно открыть все эти двери. Вот это и есть приложение «Дия». Если исключить ее, то получается, что произошел взлом базы данных Нацполиции? Учитывая, что в Telegram-канале присутствовали данные новых ID-карт и новых водительских удостоверений. Но есть большая вероятность, что утечка произошла через существующие уязвимости приложения. Собственно, то, что они показали исследования отдельных людей. И поверьте, уязвимость там не одна», – отмечает Перевезий.

В то же время объединение экспертов «Лаборатория цифровой безопасности» отмечает, что большинство информации, которая попала в открытый доступ, действительно не нова.

«Судя по информации из открытых источников, эта база действительно не нова, а компиляция нескольких слитых баз данных разных лет. И даже если бы сегодня слили всю информацию по «Дие», ничего нового там, скорее всего, не появилось бы. Все эти данные были слиты еще до нее. Паспортные данные, место прописки, права, номер авто или информация о собственности – это та информация, которая меняется очень часто и остается актуальной на протяжении долгого периода. Это эндемичная проблема баз данных, особенно государственных: они плохо защищены, плохо построены, непонятно как администрируемы, к ним имеет доступ огромное количество людей и этот доступ очень плохо контролируется», – написали представители Лаборатории цифровой безопасности на своей странице в Facebook.

В то же время представители Киберальянса в комментарии Буквам отметили, что возможность утечки через «Дию» нельзя исключать. Более того – это приложение вызывает ряд вопросов не только в силу технических особенностей, но и из-за организационных.

«Сам подход на объединение реестров и автоматический обмен данными между ними грозит большими проблемами. Для того, чтобы защищать данные, их нужно разделять и у каждого набора данных должно быть «имя». Это делается для того, чтобы в случае утечки кто-то за это отвечал. Инициатива Министерства цифровой трансформации в данном случае снижает риск такой ответственности. Более того, проблема в самом приложении. Где проектная документация? Кто отвечает за безопасность и функционал? Что произойдет, если произойдет утечка? Где сертификаты по безопасности как самого приложения, так и алгоритма его работы? » – отмечают Баранович и Перевезий.

Пока же Национальная полиция, Служба безопасности и Госбюро расследований будут искать виновных, рядовым украинцам стоит смириться с тем, что их персональные данные государство не способно защитить.

Поэтому такие утечки время от времени будут случаться. Обезопасить же чувствительную информацию о себе украинцы способны самостоятельно. Советы, которые дают эксперты по киберзащите не новы.

Двухфакторная аутентификация ко всем возможным социальных сетям и электронной почте. Для различных досок объявлений следует иметь отдельный номер телефона и отдельную виртуальную банковскую карту. Для банковских операций также советуют завести отдельный мобильный номер.

Что касается социальных сетей – свой профиль стоит настроить таким образом, чтобы незнакомые вам люди не могли видеть чувствительную для вас информацию: семейные связи, ваших друзей, фотографии и тому подобное. Также не стоит добавлять в друзья людей, которых вы лично не знаете. А для регистрации в программах лояльности различных магазинов стоит завести себе отдельный почтовый ящик и мобильный номер. И, конечно, не стоит оставлять информацию о себе на сомнительных ресурсах.

Новини

Популярні теми форуму

analytics