"Дія" слила данные украинцев в сеть? Кого обвинили и кто виноват в грандиозной утечке

Украинцы в соцсетях сообщили о якобы взломанном приложении "Дія" и утечке их персональных данных. Оказалось, что в Telegram заработал бот, который предлагает продать данные – паспорта и водительские права с фото. В Министерстве цифровой трансформации информацию о причастности "Дії" назвали фейком, а вот специалисты по кибербезопасности не столь категоричны.

Подробнее о скандальной ситуации – в материале OBOZREVATEL.

"Ребят, у вас "Дiя" убежала в интернет!"

Сайт и приложение "Дія" являются единым государственным веб-порталом электронных услуг и также ключевым сервисом в проекте "государство в смартфоне". Они объединяют в себе все услуги, которые предоставляют гражданам и бизнесу.

За три месяца работы мобильное приложение "Дія" скачали около трех миллионов пользователей.

А уже 12 мая пользователи Facebook предположили, что их данные могли попасть к мошенникам из приложения "Дія", в котором хранятся цифровые варианты документов.

О ситуации написал на своей странице в Facebook бизнесмен Александр Шевченко. По его словам, утечка данных произошла именно из "Дії".

"Ребят, у вас "Дiя" убежала в интернет, криворукие вы е****ты. Проверил себя. Все данные в базе. Фото новые, так как травма глаза на фото уже есть. Попросил товарища проверить себя. 20 дней назад он сдал паспорт и делает ID карту, как вы думаете, где эта информация уже есть? Правильно – в открытом доступе", – сообщил Александр.

В комментариях резко отреагировали пользователи соцсети. Некоторые также утверждают, что базы для продажи персональных данных обновляются регулярно.

О сливе персональных данных из "Дії" сообщил и народный депутат от "Слуги народа" Александр Дубинский. Он написал в Facebook, что чат-бот предложил ему купить данные. Также нардеп обвинил Министерство цифровой трансформации, однако затем удалил свой пост.

По словам Дубинского, он поговорил с главой Минцифры Михаилом Федоровым и тот пообещал в течение дня предоставить информацию о том, кто и как сливает данные из госреестров.

"До момента получения этой информации посты о "Дія" удалены. Если информация Михаила окажется не релевантной, либо не докажет обратного – вернёмся к теме", – объяснил свои действия нардеп.

Руководитель общественной организации "Электронная демократия" Владимир Фльонц добавил на своей странице в Facebook, что пока министерство только вынашивает глобальные планы, создатели Telegram-бота "соединили вместе данные госреестров, базы "Новой почты", пароли из ВКонтакте и linkedin и обильно приправили банковской тайной".

"Мне показали не только паспортные данные, мои старые пароли (старые, но на тот момент настоящие!), данные с биометрических паспортов (в частности, фото) и вишенка на торте – водительское удостоверение, о котором я даже не догадывался. Даже в "Дії" его не показывает, а у ребят в базе – есть. Вот так уже сейчас выглядит их цифровое будущее", – написал Фльонц.

Бот продает "персоналку" и предупреждает о мошенниках

Telegram-канал с предложениями о продаже данных был создан еще 29 марта 2020 года.

А вот 11 мая появилось сообщение о проделанной "большой работе". В незаконном сервисе появилась база водительских удостоверений с фото.

"Три дня фото будут доступны в выдаче для всех, после – только в тарифе за 500$, как закрытая информация и при проверке себя", – было сказано в сообщении Telegram-канала.

Цинично прозвучало: "Наличие фото позволит Вам более точно идентифицировать объект и не попасться на удочку мошенника". В то время, как продажа персональных данных уголовно наказуема.

Для подтверждения, что данные абсолютно достоверны, был выложен скриншот с данными Александра Грановского и Александра Дубинского. Кое-что, правда, размыли.

В самом же чат-боте указали, что поиск можно вести по ФИО, номеру телефона, ИНН и так далее. Бесплатно доступны только пять запросов, затем - за 500 долларов.

Министерство цифровой трансформации: "Это фейк!"

Довольно быстро отреагировало Министерство цифровой трансформации и глава ведомства – Михаил Федоров.

Суть заявлений сводится к тому, что грешить на приложение "Дія" нельзя, а кто распространяет такую информацию – разносит фейки.

По словам Федорова, предварительный анализ информации, которую распространяет Telegram-бот, показывает, что ресурс использует старые базы данных, которые уже давно доступны в Darknet. В частности, это база данных "Приватбанка" и др.

На пост Федорова иронично ответил пользователь Facebook Олег Попов.

"Почитал ответ Федорова, он спокойно говорит, что все базы уже давно в Даркнете, поэтому ничего страшного. Интересно, почему Минцифры не поставила себе задачу провести ИТ-аудит каждого реестра, если всё уже давно гуляет, по словам самого министра, и, судя по всему, они об этом знали. Но кто мы такие, чтобы задавать вопросы о цифровой трансформации, время которой пришло?", – написал он.

Позднее, в эфире ObozTV, Федоров заявил, что приложение "Дія" на самом деле является лишь каналом для передачи данных и у него нет базы данных.

По его словам, приложение передает данные из реестров МВД. По сути, это просто канал передачи, и этот канал зашифрован, уточнил Федоров.

Также министр добавил, что "сегодняшние вбросы – это атака на министерство, начало борьбы с тем, что мы делаем".

Взлом "Дії"? Все возможно

Как рассказал в комментарии OBOZREVATEL сооснователь "Украинского киберальянса" Андрей Баранович (известный в сети под ником Шон Таунсенд), на данный момент нельзя достоверно утверждать, откуда именно произошла утечка.

“Сложно определить, была ли утечка именно из “Дії” или из самих реестров. Но подход Минцифры, когда вместо персональной ответственности чиновника за данные, вместо неотвратимости наказания и строгого учета (кто, когда и по какой причине обращался к реестрам), они пытаются свалить всё в кучу и размывают ответственность. Что обязательно приведёт и приводит к массивным утечкам", – рассказал Баранович.

По его словам, раньше даже полиция не могла напрямую обращаться к данным – даже к своим собственным.

"Полицейский писал запрос и в нем указывал причину. Оставался бумажный след. Сейчас же Минцифра в своей святой простоте пытается всё объединить, значит к данным можно обращаться бесконтрольно с минимальным риском", – добавил хактивист.

Он также сообщил, что далеко не везде фиксируется, кто именно из имеющих легальный доступ к информации обращался за данными по тому или иному лицу, а риск для нечистого на руку чиновника минимальный.

"Главное – риск для вороватого чиновника минимален, а данных все больше и больше", - добавил Андрей Баранович.

Он также считает, что Федоров, заявляя о невозможности утечки из "Дії", – не прав.

"Дія" – своего рода прослойка между пользователем и реестрами, если кто-то взломает сервер "Дії", то он получит прямой и бесконтрольный доступ к реестрам. Так что министр не прав, это вполне возможно. Они могут даже не знать об этом. Как сказал сам Федоров, "роль кибербезопасности преувеличена". Украинские ресурсы в основном защищены плохо, и никакой осмысленной политики, направленной на безопасность и защиту данных, в Украине нет", – заявил сооснователь "Украинского киберальянса".

Кто ответит?

В Министерстве цифровой трансформации уже заявили, что Служба безопасности Украины проводит следственные действия. Однако в СБУ затруднились сообщить OBOZREVATEL подробности. Неофициально рассказали: "Наши пока не в курсе, что проводят расследование. Пока выясняем, что и как".

Вечером 12 мая стало известно, что Национальная полиция Украины начала расследование масштабной утечки данных граждан, которые предлагал продать анонимный Telegram-канал.

Следователи провели предварительный анализ и заявили, что утечка не имеет отношения к началу работы государственного мобильного приложения "Дія".

"Предварительным анализом установлено, что объем противоправно обнародованных персональных данных является компиляцией из информационных баз различных государственных ведомств и неправительственных организаций за различные периоды предыдущих лет и не имеет отношения к началу работы государственного мобильного приложения "Дія", – сказано в сообщении.

Важно понимать: попытка проверить себя в нелегальной базе данных помогает преступникам верифицировать вашу персональную информацию и собрать недостающую. Потому "экспериментировать" точно не стоит.