Наприкінці січня в інтернеті опублікували архів із даними, які нібито вкрали з порталу «Дія». Кіберексперти кажуть, що злив із «Дії» можливий, уряд же заперечує втручання хакерів у реєстри, а розробник порталу Kitsoft каже, що не відповідає за його захист і безпеку. Forbes розібрався в деталях витоку та його можливих наслідках
Amazon інвестує мільярди доларів у ШІ, роботів та машинне навчання. Якими принципами й правилами керується компанія?
Дізнайтеся вже 22 листопада на Forbes Tech 2024. Купуйте квиток за посиланням!
Коротко: що за витік та чи варто хвилюватися
- Вночі 22 січня на форумі RaidForums розмістили 20 ГБ даних нібито з різних державних сайтів, зокрема з порталу «Дія». Архів продавали за $15 000. Також був доступний зразок із даними для ознайомлення.
- Наступного дня повідомлення видалили після скарг. Після цього архів виклали в даркнет. Автор нібито додав туди базу даних із кабінета водія і збільшив чек до $55 000.
- Як з’ясував Forbes після спілкування з кіберекспертами та представниками Міністерства цифрової транформації, хакери, як мінімум, активно послуговувалися минулими витоками данних. На потенційний злам «Дії» вказує структура злитої інформації, доступ до сканів документів та актуальність записів. За версією розпорядників реєстру, це підробка, а головне завдання атаки – посіяти паніку.
- Зручного способу перевірити, чи опинилися ваші дані в інтернеті, немає. Але навіть якщо їх злили, це не загрожує фінансовими чи юридичними проблемами, запевнили Forbes юристи та представники фінансового сектору. Отримати кредит чи зареєструвати компанію лише за злитою в мережу інформацією майже неможливо.
Чи справді зламали «Дію»? Не зрозуміло, але точно могли постраждати інші реєстри
Аргументи на користь того, що дані справді витекли з порталу «Дія», можна поділити на дві категорії: системні та анекдотичні. До останніх відносяться знахідки в зразках опублікованого архіву. Так, програміст із Luxoft Ukraine Іван Сорочан знайшов у базі телефон, емейл та ідентифікаційний код свого неповнолітнього родича, який отримав паспорт у 2021 році.
Один з експертів, з яким говорив Forbes і який захотів залишитися анонімним, знайшов свою персональну інформацію: номер і серію паспорта, номер телефону, емейл, поточну адресу проживання. Він вводив ці дані на порталі «Дія» щоб отримати сертифікат вакцинації.
Які дані були в зразках на RaidForums
- адреса електронної пошти
- номер телефону
- ПІБ
- ІПН
- дата народження
- стать
- дані про ФОП (якщо є)
- адреса реєстрації
- паспортні дані: серія, номер, дата видачі, орган, що видав
- дані ID-картки: номер, дата видачі, номер органу, що видав, термін придатності
- дані закордонного паспорту: серія та номер, номер органу, що видав, термін придатності
Серед аргументів на підтвердження того, що дані з «Дії», співзасновник ГО «Кіберальянс» Андрій Баранович та розробник системи аналізу відкритих даних Clarity Project Ярослав Гарагуц на прохання Forbes виділили такі фактори.
- Структура даних у зразках на RaidForums відповідає структурі даних із порталу або сайту «Дія».
- У цих даних також є поле userID – унікальний ідентифікатор користувача, який ідентичний тому, що видає сам портал під час реєстрації.
- У базі є скани паперових документів, які треба завантажити на портал для отримання послуг, – заяви на єМалятко, реєстрацію ФОП.
- У базі є паспорти, видані 2020–2021 року. Значить, шахраї мають не лише старі, а й нові дані.
Вони не заперечують, що хакери доповнили нові дані старими. Під час атаки зловмисники могли витягнути кеш «Дії» або перехопити запити користувачів, отримавши певний набір свіжих даних, каже експерт з інформаційної безпеки Олексій Барановський. «Вони склеїли отримані дані з різних реєстрів із попередніми зливами», – додає він.
Як відповідає на звинувачення Мінцифри
Головні аргументи розпорядника «Дії»
Міністерство цифрової трансформації неодноразово казало, що портал та додаток «Дія» не зберігають даних, а лише агрегують їх із чисельних державних реєстрів. Цього разу позиція уряду така сама: Мінцифри каже, що фейки про злив даних почали поширювати після кібератаки на урядові сайти 14 січня.
Метою цієї атаки був «психологічний вплив на українців, який полягає в підриві довіри до органів влади та сприянні панічним настроям». На думку уряду, хакери розмістили на форумі компіляцію різних баз, які раніше були доступні в інтернеті.
«Щодня наша служба підтримки отримує від громадян багато звернень з цього питання, і серед них є такі, коли українці в цих базах знаходять свої старі паспортні дані чи місце реєстрації».
Forbes також попросив представників Мінцифри відповісти на конкретні питання щодо витоку та пояснити доступ до свіжих паспортів, даних єМалятко та структури архіву. Наводимо ключові тези.
- Структура даних порталу не є закритою, «за бажанням» її можна підробити. Копії заяв на послугу єМалятко окрім «Дії» також зберігаються у ЦНАПі та ДРАЦС.
- Зовнішній вигляд заяв єМалятко, представлених у базі, відрізняється від дизайну заяв у «Дії», що може свідчити про їх автоматизоване або ручне редагування/спотворення, пишуть представники Мінцифри в коментарі Forbes.
- У Мінцифрі не змогли підтвердити інформацію про відповідність userID із ідентифікаторами в «злитій» базі. «Одиничні збіги можуть бути наслідком використання зловмисниками окремих поштових серверів та доступу до їхніх логів», – пише Мінцифра.
Розробник порталу «Дія» компанія Kitsoft не дала Forbes чіткої відповіді, оскільки, за її словами, «не є власником цієї ІТ-системи і не має повноважень щодо її захисту і безпеки». Державні органи зараз розслідують випадок, але «свідчення, що є на сьогодні, не підтверджують витік бази даних», – каже Kitsoft.
Що шахраї можуть (і не можуть) зробити з персональними даними
Оформити кредит у банку з вкраденими даними неможливо – для цього треба оригінал паспорту особи, розповідає старший юрист Axon Partners Надія Денисюк. Із мікрофінансовими організаціями шахраям простіше – вони можуть укласти кредитний договір з копією паспорту та РНОКПП, а процес підписання договору відбувається дистанційно та не завжди з повною верифікацією клієнта.
Якщо захочеться отримати готівку, навіть на це розраховувати важко – гроші потрібно отримати в банку, у фінансовій організації або у відідленні «Укрпошти» – в цих установах без оригіналу паспорту або іншого документу їх не видадуть.
Як розповіли Forbes у Moneyveo, одному із найбільших гравців цього ринку, у компанії діють протоколи регуляторної та внутрішньої перевірки. За їх результатами є як мінімум п‘ять сценаріїв відмови у кредиті – у тому числі за надання недостовірної інформації.
Оскільки зручного способу перевірити, чи витекли ваші дані зараз, не існує, можна подбати про фінансову безпеку наперед. «Наприклад, підключити SMS-сповіщення про нові запити на сайті Українського бюро кредитних історій», – каже Петро Білик, директор з інновацій Juscutum. До цієї бази звертаються фінансові установи при оформленні кредитів. Також сповіщення про оформлення нового кредиту з початку 2022 року навчився надсилати застосунок «Дія».
Захистити себе можна і у разі передачі паспортних даних третім сторонам – вони є в авіакомпаній, банків, фінансових установ, будівельних компаній, нотаріусів тощо. «Можна написати на копії паспорта, з якою метою вона надається і що використання її для іншої мети заборонена, – каже Білик. – Це дасть адвокатам додаткову підставу для оскарження в суді».
Які ще сценарії можуть бути?
- Злом акаунту на криптовалютній біржі. Незважаючи на анонімність, найбільші криптовалютні біржі (Binance, EXMO) мають багатоетапну верифікацію клієнта – вимагають фото оригіналу документів та фото користувача з паспортом, тому навіть із вкраденими даними отримати доступ до чужого акаунту буде складно, каже Денисюк.
- Реєстрація компанії. Зареєструвати компанію на чуже імʼя просто так не можна – для цього треба оригінал паспорту. Реєстрація з копіями документів вважається «чорною» і оспорюється в суді.
- Підробка електронного підпису. Цей файл додатково захищений паролем користувача, проте, якщо дані все ж витікли, краще зробити новий підпис, адже його використовують для авторизації в багатьох сервісах, зокрема платіжних.
Чим же тоді загрожує витік даних? За їх допомогою, за словами Денисюк, зловмисники можуть зламати інші сервіси – електронну пошту чи онлайн-банк, в яких для верифікації часто використовують паспортні дані.
Ви знайшли помилку чи неточність?
Залиште відгук для редакції. Ми врахуємо ваші зауваження якнайшвидше.