Дія

У ніч з 21 на 22 січня на хакерському форумі Raid forum з’явилось оголошення про продаж персональних даних громадян України. Автор оголошення, користувач з ніком FreeCivilian, стверджує, що частина інформації отримана з баз державних відомств. Наразі він пропонує для продажу дані сервісу «Дія», отримані ним з сайту diia.gov.ua.

Виставлена на продаж база даних містить 2,6 млн дописів. Її пропонують придбати за $15 тис, хоча, якщо дані є справжніми, ціна їх може бути набагато вищою.

Дані представлені у вигляді таблиці, що містить розшифровану інформацію про громадян та їхні документи. В таблиці містяться такі поля:

  • електронна пошта;
  • персональні дані (ім’я, прізвище), дата народження, стать;
  • телефон;
  • ІПН;
  • паспортні дані;
  • дані закордонного паспорту.

Автор оголошення також згадує про існування фотографій документів (паспортів, водійських посвідчень, військових квитків, дипломів), часто не дуже гарної якості. В цій базі даних — 13,5 млн записів.

Водночас Центр стратегічних комунікацій та інформаційної безпеки на своїй Facebook-сторінці попереджує, що інформація про злив даних з «Дії» є провокацією, а насправді йдеться про продаж старих баз даних, злитих до 2019 року. Фахівці центру закликають не реагувати на ці провокації, які є проявом гібридної війни. Схожу думку висловив і Володимир Стиран, керівник компанії Berezha Security Group, запевняючи, що йдеться про шахрайство та спробу продажу старих даних.

Звідки воно взялося?

Автор повідомлення підкреслює, що опублікований ним витік — лише частина даних, які у нього є. В наступних частинах він обіцяє опублікувати дані, отримані ним з інших державних порталів — health.mia.software (ймовірно, йдеться про дані медичної системи «МІА Здоров’я», minregion.gov.ua (Міністерство розвитку громад та територій), wanted.mvs.gov.ua (сайт з даними громадян, що їх розшукує МВС), e-driver.hsc.gov.ua (електронний кабінет водія), court.gov.ua (сайд судової влади). В Telegram-каналі «Утечки информации» згадується також про опублікований «код сайта diia.gov.ua — архів розміром 1,3 Гб».

Для ознайомлення з вмістом даних, що продаються, автор повідомлення виставив декілька зразків.

Оголошення про продаж даних

Спікер українського Кіберальянсу Шон Таунсенд (Sean Brian Townsend) у себе на Facebook-сторінці та в Telegram-каналі разом з іншими експертами з кібербезпеки проаналізували вміст доступних для вільного перегляду зразків виставленого на продаж набору даних.

З одного боку, всім відомо про існування величезної кількості Telegram-каналів, які продають персональні дані українців уже не перший рік. Не дуже успішна боротьба з ними та й загальне ставлення до персональних даних наших громадян, регулярні випадки їхніх витоків через різні структури не роблять появу такого оголошення надзвичайною новиною. Тим більше, що, враховуючи злам сайтів держструктур тижневої давності, можна припустити: автор оголошення просто вирішив заробити на «хайпі» навколо кібератак та витоків даних, що фігурують в інформаційному полі України не перший день.

Окрім того, українці часто самі не особливо переймаються захистом даних і полюбляють використовувати напівшпигунські додатки типу GetContact, який віднедавна оголосив про передачу своїх даних російським силовикам.

Так, може, таки просто шахраї?

Втім, навіть фрагментарний аналіз виставлених на продаж даних, представлених як доказ того, що FreeCivilian справді володіє персональними даними українців, свідчить про те, що ми маємо справу, безперечно, з витоком даних — або з порталу «Дія», або з інших державних реєстрів. Шон Таунсенд в коментарях до свого допису називає цей витік «найбільш масштабним та катастрофічним в історії України, який буде мати наслідки роками, якщо не десятиліттями».

Аналіз інших фрагментів говорить про витік даних медслужби Міністерства внутрішніх справ — у прикладах баз наведені дані про візити до лікарів відомчих поліклінік.

В деяких джерелах згадується, що цей витік пов’язано із дефейсом державних сайтів тижневої давності. На скріншотах, наведених Володимиром Пасікою, розробником мобільного додатку для військових «Джура», продемонстровано, що це є дамп (копія) даних, отримана через компанію Kitsoft. Саме ця фірма була розробником більшості державних порталів. На скріншоті з структурою файлів чітко видно назву компанії.

Скіншот злитих даних

Яким чином зловмисники отримали доступ до цих даних — чи то під час останньої кібератаки через вразливу систему управління контентом OctoberCMS, чи просто тут спрацював людський фактор і хтось «виніс» базу з даними українців — наразі невідомо.

На інших скріншотах можна побачити фрагменти інформації, які свідчать про можливий витік електронно-цифрових підписів, принаймні виданих «Приватбанком»‎.

Скріншот злитих даних

Якщо це таки підтвердиться і тим самим свідчитиме про ненадійність та вразливість українських електронно-цифрових підписів, то йтиметься про ризик нового рівня, який зачепить силу-силенну громадян України та їхні взаємини з державою. Це може принаймні частково пояснити відомий кейс електронного підпису «Джо Байдена» в петиції за відставку Олега Татарова та інші кейси проблемного та нелегітимного використання ЕЦП.

Окрім того, такий витік даних та компрометація системи електронних підписів зводять нанівець розмови про проведення «виборів у смартфоні» чи електронного голосування у Верховній Раді, ініційованих можновладцями та міністром цифрової трансформації Михайлом Федоровим зокрема.

Хто винен і що робити

Пошуки винних у витоках даних навряд чи призведуть до успіху. Адже злами ІТ-інструментів та витоки даних стали звичним елементом життя в діджитальному світі. Дані втрачають Facebook, бюро кредитних історій Equifax, мережа готелів Marriott. Наприклад, лише минулого тижня були викрадені дані пів мільйона людей з баз Червоного Хреста.

Активність на форумі Raid Forum у розділі продажу даних доволі висока і сьогодні зранку, наприклад, з’явилась інформація про COVID-сертифікати мільйонів жителів Індії.

Втім, у випадку з витоками онлайн-сервісів чи навіть мережі готелів можна змінити паролі, електронні адреси та перевипустити банківську карту. Проте коли починають продаватися чутливі та приватні дані — до прикладу, поєднання прізвища, імені, дати народження та паспортних даних, або, ще гірше, — даних електронно-цифрового підпису, ризики є важко осяжними і оцінити їх можна буде лише з часом.

На сьогодні можна порекомендувати громадянам України вдатися до такого:

  • змінити паролі до електронної пошти, принаймні тієї, яка використовувалась при реєстрації на порталі «Дія»;
  • змінити номер телефона, який міг потрапити у витік, або принаймні покращити його захист (прив’язати до паспорта в офісі у оператора), або отримати новий номер телефона та подбати, щоб саме цей новий номер став фінансовим, а не той, який потрапив у витік;
  • перевипустити електронно-цифрові підписи, попередньо їх відкликавши;
  • змінити паролі на всіх державних сайтах;
  • заблокувати і перевипустити банківські картки, які були прив’язані до будь-яких акаунтів на державних сайтах.

Логічним кроком після цієї історії повинна стати вимога припинити українську діджитал-вакханалію, ризики та негативні наслідки, які поступово нівелюють всі її переваги.

Троянський злам. Атака на сайти українських держорганів 14 січня була лише прикриттям перед більш серйозним кібернападом
iPhone замість паперових бланків та цифровий підрахунок