Злам «Дії». Чи справді з держпорталу витекли дані та чим це вам може загрожувати. Детальний розбір Forbes

Коротко: що за витік та чи варто хвилюватися

• Вночі 22 січня на форумі RaidForums розмістили 20 ГБ даних нібито з різних державних сайтів, зокрема з порталу «Дія». Архів продавали за $15 000. Також був доступний зразок із даними для ознайомлення.
• Наступного дня повідомлення видалили після скарг. Після цього архів виклали в даркнет. Автор нібито додав туди базу даних із кабінета водія і збільшив чек до $55 000.
• Як з’ясував Forbes після спілкування з кіберекспертами та представниками Міністерства цифрової транформації, хакери, як мінімум, активно послуговувалися минулими витоками данних. На потенційний злам «Дії» вказує структура злитої інформації, доступ до сканів документів та актуальність записів. За версією розпорядників реєстру, це підробка, а головне завдання атаки – посіяти паніку.
• Зручного способу перевірити, чи опинилися ваші дані в інтернеті, немає. Але навіть якщо їх злили, це не загрожує фінансовими чи юридичними проблемами, запевнили Forbes юристи та представники фінансового сектору. Отримати кредит чи зареєструвати компанію лише за злитою в мережу інформацією майже неможливо.

Чи справді зламали «Дію»? Не зрозуміло, але точно могли постраждати інші реєстри

Аргументи на користь того, що дані справді витекли з порталу «Дія», можна поділити на дві категорії: системні та анекдотичні. До останніх відносяться знахідки в зразках опублікованого архіву. Так, програміст із Luxoft Ukraine Іван Сорочан знайшов у базі телефон, емейл та ідентифікаційний код свого неповнолітнього родича, який отримав паспорт у 2021 році.

Один з експертів, з яким говорив Forbes і який захотів залишитися анонімним, знайшов свою персональну інформацію: номер і серію паспорта, номер телефону, емейл, поточну адресу проживання. Він вводив ці дані на порталі «Дія» щоб отримати сертифікат вакцинації.

Серед аргументів на підтвердження того, що дані з «Дії», співзасновник ГО «Кіберальянс» Андрій Баранович та розробник системи аналізу відкритих даних Clarity Project Ярослав Гарагуц на прохання Forbes виділили такі фактори.

• Структура даних у зразках на RaidForums відповідає структурі даних із порталу або сайту «Дія».
• У цих даних також є поле userID – унікальний ідентифікатор користувача, який ідентичний тому, що видає сам портал під час реєстрації.
• У базі є скани паперових документів, які треба завантажити на портал для отримання послуг, – заяви на єМалятко, реєстрацію ФОП.
• У базі є паспорти, видані 2020–2021 року. Значить, шахраї мають не лише старі, а й нові дані.

Вони не заперечують, що хакери доповнили нові дані старими. Під час атаки зловмисники могли витягнути кеш «Дії» або перехопити запити користувачів, отримавши певний набір свіжих даних, каже експерт з інформаційної безпеки Олексій Барановський. «Вони склеїли отримані дані з різних реєстрів із попередніми зливами», – додає він.

Forbes також попросив представників Мінцифри відповісти на конкретні питання щодо витоку та пояснити доступ до свіжих паспортів, даних єМалятко та структури архіву. Наводимо ключові тези.

• Структура даних порталу не є закритою, «за бажанням» її можна підробити. Копії заяв на послугу єМалятко окрім «Дії» також зберігаються у ЦНАПі та ДРАЦС.
• Зовнішній вигляд заяв єМалятко, представлених у базі, відрізняється від дизайну заяв у «Дії», що може свідчити про їх автоматизоване або ручне редагування/спотворення, пишуть представники Мінцифри в коментарі Forbes.
• У Мінцифрі не змогли підтвердити інформацію про відповідність userID із ідентифікаторами в «злитій» базі. «Одиничні збіги можуть бути наслідком використання зловмисниками окремих поштових серверів та доступу до їхніх логів», – пише Мінцифра.

Розробник порталу «Дія» компанія Kitsoft не дала Forbes чіткої відповіді, оскільки, за її словами, «не є власником цієї ІТ-системи і не має повноважень щодо її захисту і безпеки». Державні органи зараз розслідують випадок, але «свідчення, що є на сьогодні, не підтверджують витік бази даних», – каже Kitsoft.

Що шахраї можуть (і не можуть) зробити з персональними даними

Оформити кредит у банку з вкраденими даними неможливо – для цього треба оригінал паспорту особи, розповідає старший юрист Axon Partners Надія Денисюк. Із мікрофінансовими організаціями шахраям простіше – вони можуть укласти кредитний договір з копією паспорту та РНОКПП, а процес підписання договору відбувається дистанційно та не завжди з повною верифікацією клієнта. 

Якщо захочеться отримати готівку, навіть на це розраховувати важко – гроші потрібно отримати в банку, у фінансовій організації або у відідленні «Укрпошти» – в цих установах без оригіналу паспорту або іншого документу їх не видадуть.

Як розповіли Forbes у Moneyveo, одному із найбільших гравців цього ринку, у компанії діють протоколи регуляторної та внутрішньої перевірки. За їх результатами є як мінімум п‘ять сценаріїв відмови у кредиті – у тому числі за надання недостовірної інформації.

Оскільки зручного способу перевірити, чи витекли ваші дані зараз, не існує, можна подбати про фінансову безпеку наперед. «Наприклад, підключити SMS-сповіщення про нові запити на сайті Українського бюро кредитних історій», – каже Петро Білик, директор з інновацій Juscutum. До цієї бази звертаються фінансові установи при оформленні кредитів. Також сповіщення про оформлення нового кредиту з початку 2022 року навчився надсилати застосунок «Дія». 

Захистити себе можна і у разі передачі паспортних даних третім сторонам – вони є в авіакомпаній, банків, фінансових установ, будівельних компаній, нотаріусів тощо. «Можна написати на копії паспорта, з якою метою вона надається і що використання її для іншої мети заборонена, – каже Білик. – Це дасть адвокатам додаткову підставу для оскарження в суді».

Які ще сценарії можуть бути?

• Злом акаунту на криптовалютній біржі. Незважаючи на анонімність, найбільші криптовалютні біржі (Binance, EXMO) мають багатоетапну верифікацію клієнта – вимагають фото оригіналу документів та фото користувача з паспортом, тому навіть із вкраденими даними отримати доступ до чужого акаунту буде складно, каже Денисюк.
• Реєстрація компанії. Зареєструвати компанію на чуже імʼя просто так не можна – для цього треба оригінал паспорту. Реєстрація з копіями документів вважається «чорною» і оспорюється в суді.
• Підробка електронного підпису. Цей файл додатково захищений паролем користувача, проте, якщо дані все ж витікли, краще зробити новий підпис, адже його використовують для авторизації в багатьох сервісах, зокрема платіжних.

Чим же тоді загрожує витік даних? За їх допомогою, за словами Денисюк, зловмисники можуть зламати інші сервіси – електронну пошту чи онлайн-банк, в яких для верифікації часто використовують паспортні дані.

Матеріали по темі

Категорія

Картина дня

Дата

24 січня 2022

Дані українців з «Дії» нібито виставили на продаж. Уряд запевняє, що це фейк. Що відомо

Категорія

Картина дня

Дата

21 січня 2022

Кібервійна вже триває – Україну ледь не щодня атакують російські хакери. Як ми захищаємось? Інтервʼю голови Держспецзвʼязку Юрія Щиголя

Категорія

Картина дня

Дата

16 січня 2022

Додадок «Дія» встановили 12 млн українців. Ось як держкомпанія зберігає дані українців. Фоторепортаж Forbes