В ночь с 21 на 22 января на хакерском форуме Raid forum появилось объявление о продаже персональных данных граждан Украины. Автор объявления, пользователь с ником FreeCivilian, утверждает, что часть информации получена из баз государственных ведомств. Пока он предлагает для продажи данные сервиса «Дія», полученные им с сайта diia.gov.ua.
Выставленная на продажу база данных содержит 2,6 млн сообщений. Ее предлагают приобрести за $15 тыс, хотя, если данные являются подлинными, цена их может быть намного выше.
Данные представлены в виде таблицы, которая содержит расшифрованную информацию о гражданах и документах. В таблице содержатся следующие поля:
- электронная почта;
- персональные данные (имя, фамилия), дата рождения, пол;
- телефон;
- ИНН;
- паспортные данные;
- данные загранпаспорта.
Автор объявления также упоминает о существовании фотографий документов (паспортов, водительских удостоверений, военных билетов, дипломов), зачастую не очень хорошего качества. В этой базе данных — 13,5 млн записей.
В то же время Центр стратегических коммуникаций и информационной безопасности на своей Facebook-странице предупреждает, что информация о сливе данных из «Дії» является провокацией, а на самом деле речь идет о продаже старых баз данных, слитых до 2019 года. Специалисты центра призывают не реагировать на эти провокации, которые являются проявлением гибридной войны. Похожее мнение высказал и Владимир Стиран, руководитель компании Berezha Security Group, уверяя, что речь идет о мошенничестве и попытке продажи старых данных.
Откуда оно взялось?
Автор сообщения подчеркивает, что опубликованная им утечка — лишь часть данных, которые у него есть. В следующих частях он обещает опубликовать данные, полученные им из других государственных порталов — health.mia.software (вероятно, речь идет о данных медицинской системы «МИА Здоровье», minregion.gov.ua (Министерство развития общин и территорий), wanted.mvs.gov.ua (сайт с данными граждан, которых разыскивает МВД), e-driver.hsc.gov.ua (электронный кабинет водителя), court.gov.ua (сайт судебной власти). В Telegram-канале «Утечки информации» упоминается также об опубликованном «коде сайта diia.gov.ua — архив размером 1,3 Гб».
Для ознакомления с содержимым данных, которые продаются, автор сообщения выставил несколько образцов.
Спикер украинского Киберальянса Шон Таунсенд (Sean Brian Townsend) у себя на Facebook-странице и Telegram-канале вместе с другими экспертами по кибербезопасности проанализировали содержимое доступных для свободного просмотра образцов выставленного на продажу набора данных.
С одной стороны, всем известно о существовании огромного количества Telegram-каналов, которые продают персональные данные украинцев уже не первый год. Не очень успешная борьба с ними и общее отношение к персональным данным наших граждан, регулярные случаи их утечек через разные структуры не делают появление такого объявления чрезвычайной новостью. Тем более, что, учитывая взлом сайтов госструктур недельной давности, можно предположить: автор объявления просто решил заработать на «хайпе» вокруг кибератак и утечек данных, которые фигурируют в информационном поле Украины не первый день.
Кроме того, украинцы часто сами не особо озабочены защитой данных и любят использовать полушпионские приложения типа GetContact, который недавно объявил о передаче своих данных российским силовикам.
Так, может, все-таки просто мошенники?
Впрочем, даже фрагментарный анализ выставленных на продажу данных, представленных в качестве доказательства того, что FreeCivilian действительно владеет персональными данными украинцев, свидетельствует о том, что мы имеем дело, безусловно, с утечкой данных — либо с портала «Дія», либо из других государственных реестров. Шон Таунсенд в комментариях к своему сообщению называет эту утечку «самой масштабной и катастрофической в истории Украины, которая будет иметь последствия годами, если не десятилетиями».
Анализ других фрагментов говорит об утечке данных медслужбы Министерства внутренних дел — в примерах баз приведены данные о визитах к врачам ведомственных поликлиник.
В некоторых источниках упоминается, что эта утечка связана с дефейсом государственных сайтов недельной давности. На скриншотах, приведенных Владимиром Пасикой, разработчиком мобильного приложения для военных «Джура», продемонстрировано, что это дамп (копия) данных, полученная через компанию Kitsoft. Именно эта фирма являлась разработчиком большинства государственных порталов. На скриншоте со структурой файлов отчетливо видно название компании.
Как злоумышленники получили доступ к этим данным — то ли во время последней кибератаки из-за уязвимой системы управления контентом OctoberCMS, то ли просто здесь сработал человеческий фактор и кто-то «вынес» базу с данными украинцев — пока неизвестно.
На других скриншотах можно увидеть фрагменты информации, которые свидетельствуют о возможной утечке электронно-цифровых подписей, по крайней мере, выданных «Приватбанком».
Если это все-таки подтвердится и тем самым будет свидетельствовать о ненадежности и уязвимости украинских электронно-цифровых подписей, то речь будет идти о риске нового уровня, который затронет уйму граждан Украины и их отношения с государством. Это может хотя бы частично объяснить известный кейс электронной подписи «Джо Байдена» в петиции за отставку Олега Татарова и другие кейсы проблемного и нелегитимного использования ЭЦП.
Кроме того, такая утечка данных и компрометация системы электронных подписей сводят на нет разговоры о проведении «выборов в смартфоне» или электронном голосовании в Верховной Раде, инициированных властью и министром цифровой трансформации Михаилом Федоровым, в частности.
Кто виноват и что делать
Поиски виновных в утечках данных вряд ли приведут к успеху. Ведь взломы ИТ-инструментов и утечки данных стали привычным элементом жизни в диджитальном мире. Данные теряют Facebook, бюро кредитных историй Equifax, сеть отелей Marriott. К примеру, только на прошлой неделе были похищены данные полмиллиона человек из баз Красного Креста.
Активность на форуме Raid Forum в разделе продаж данных достаточно высока и сегодня утром, например, появилась информация о COVID-сертификатах миллионов жителей Индии.
Впрочем, в случае с утечками онлайн-сервисов или даже сети отелей можно изменить пароли, электронные адреса и перевыпустить банковскую карту. Однако, когда начинают продаваться чувствительные и частные данные — к примеру, сочетание фамилии, имени, даты рождения и паспортных данных, или, еще хуже, — данных электронно-цифровой подписи, риски трудно обозримы и оценить их можно будет только со временем.
На сегодняшний день можно порекомендовать гражданам Украины прибегнуть к следующему:
- изменить пароли к электронной почте, по крайней мере той, которая использовалась при регистрации на портале «Дія»;
- изменить номер телефона, который мог попасть в утечку, или хотя бы улучшить его защиту (привязать к паспорту в офисе оператора), или получить новый номер телефона и позаботиться о том, чтобы именно этот новый номер стал финансовым, а не тот, который попал в утечку;
- перевыпустить электронно-цифровые подписи, предварительно их отозвав;
- сменить пароли на всех государственных сайтах;
- заблокировать и перевыпустить банковские карты, которые были привязанные к любым аккаунтам на государственных сайтах.
Логичным шагом после этой истории должно стать требование прекратить украинскую диджитал-вакханалию, риски и негативные последствия которой постепенно нивелируют все ее преимущества.
