Взлом «Дії». Действительно ли из госпортала утекли данные и чем это может угрожать. Подробный разбор Forbes

Коротко: что за утечка и стоит ли волноваться

• Ночью 22 января на форуме RaidForums разместили 20 ГБ данных якобы с разных государственных сайтов, в том числе с портала «Дія». Архив продавали за $15 000. Также был доступен образец с данными для ознакомления.
• На следующий день сообщение было удалено после жалоб. После этого архив выложили в даркнет. Автор якобы добавил туда базу данных из кабинета водителя и увеличил чек до $55 000.
• Как выяснил Forbes после общения с киберэкспертами и представителями Министерства цифровой трансформации, хакеры, как минимум, активно пользовались прошлыми утечками данных. На потенциальный взлом «Дії» указывает структура слитой информации, доступ к сканам документов и актуальность записей. По версии распорядителей реестра, это подделка, а главная задача атаки – посеять панику.
• Удобного способа проверить, оказались ли ваши данные в интернете, нет. Но даже если их слили, это не чревато финансовыми или юридическими проблемами, заверили Forbes юристы и представители финансового сектора. Получить кредит или зарегистрировать компанию только по слитой информации почти невозможно.

Действительно ли взломали «Дію»? Не ясно, но точно могли пострадать другие реестры

Аргументы в пользу того, что данные действительно вытекли из портала «Дія», можно разделить на две категории: системные и анекдотические. К последним относятся находки в образцах опубликованного архива. Так, программист из Luxoft Ukraine Иван Сорочан нашел в базе телефон, эмейл и идентификационный код своего несовершеннолетнего родственника, получившего паспорт в 2021 году.

Один из экспертов, с которым говорил Forbes и захотевший остаться анонимным, нашел свою персональную информацию: номер и серию паспорта, номер телефона, эмейл, текущий адрес проживания. Он вводил эти данные на портале «Дія», чтобы получить сертификат вакцинации.

Среди аргументов в подтверждение того, что данные из «Дії», соучредитель ОО «Киберальянс» Андрей Баранович и разработчик системы анализа открытых данных Clarity Project Ярослав Гарагуц по просьбе Forbes выделили следующие факторы.

• Структура данных в образцах RaidForums соответствует структуре данных с портала или сайта «Дія».
• В этих данных также есть поле userID – уникальный идентификатор пользователя, который идентичен тому, что выдает портал при регистрации.
• В базе есть сканы бумажных документов, которые необходимо загрузить на портал для получения услуг, – заявки на єМалятко, оформление ФОП.
• В базе есть паспорта, выданные в 2020–2021 годах. Значит, у мошенников есть не только старые, но и новые данные.

Они не отрицают, что хакеры дополнили новые данные старыми. Во время атаки злоумышленники могли вытащить кэш «Дії» или перехватить запросы пользователей, получив определенный набор свежих данных, говорит эксперт по информационной безопасности Алексей Барановский. «Они склеили полученные данные из разных реестров с предварительными сливами», – добавляет он.

Forbes также попросил представителей Минцифры ответить на конкретные вопросы по поводу утечки и объяснить доступ к свежим паспортам, данным єМалятко и структуре архива. Приводим ключевые тезисы.

• Структура данных портала не закрыта, «по желанию» ее можно подделать. Копии заявлений на услугу єМалятко кроме «Дії» также хранятся в ЦПАУ и ГРАГС.
• Внешний вид заявлений єМалятко, представленных в базе, отличается от дизайна заявлений в «Дії», что может свидетельствовать об их автоматизированном или ручном редактировании/искажении, пишут представители Минцифры в комментарии Forbes.
• В Минцифре не смогли подтвердить информацию о соответствии userID с идентификаторами в «слитой» базе. «Единичные совпадения могут являться следствием использования злоумышленниками отдельных почтовых серверов и доступа к их логам», – пишет Минцифра.

Разработчик портала «Дія» компания Kitsoft не дала Forbes четкого ответа, поскольку, по ее словам, «не является владельцем этой ІТ-системы и не имеет полномочий по ее защите и безопасности». Государственные органы сейчас расследуют случай, но «сегодняшние свидетельства не подтверждают утечку базы данных», – говорит Kitsoft.

Что мошенники могут (и не могут) сделать с персональными данными

Оформить кредит в банке с украденными данными невозможно – для этого необходим оригинал паспорта лица, рассказывает старший юрист Axon Partners Надежда Денисюк. С микрофинансовыми организациями мошенникам проще – они могут заключить кредитный договор с копией паспорта и РНУКПН, а процесс заключения договора происходит дистанционно и не всегда с полной верификацией клиента.

Если захочется обналичить, даже на это рассчитывать трудно – деньги нужно получить в банке, в финансовой организации или в отделении «Укрпочты» – в этих учреждениях без оригинала паспорта или другого документа их не выдадут.

Как рассказали Forbes в Moneyveo, один из крупнейших игроков этого рынка, в компании действуют протоколы регуляторной и внутренней проверки. По их результатам есть, как минимум, пять сценариев отказа в кредите – в том числе за предоставление недостоверной информации.

Поскольку удобного способа проверить, вытекли ли ваши данные на данный момент, не существует, можно позаботиться о финансовой безопасности наперед. «Например, подключить SMS-уведомления о новых запросах на сайте Украинского бюро кредитных историй», – говорит Петр Билык, директор по инновациям Juscutum. В эту базу обращаются финансовые учреждения при оформлении кредитов. Также уведомление об оформлении нового кредита с начала 2022 года научилось присылать приложение «Дія».

Защитить себя можно и в случае передачи паспортных данных третьим сторонам – они находятся у авиакомпаний, банков, финансовых учреждений, строительных компаний, нотариусов и т.д. «Можно написать на копии паспорта, с какой целью она предоставляется и что использование ее в других целях запрещено, – говорит Билык. – Это даст адвокатам дополнительное основание для обжалования в суде».

Какие еще сценарии могут быть?

• Взлом аккаунта на криптовалютной бирже. Несмотря на анонимность, самые крупные криптовалютные биржи (Binance, EXMO) имеют многоэтапную верификацию клиента – требуют фото оригинала документов и фото пользователя с паспортом, поэтому даже с украденными данными получить доступ к чужому аккаунту будет сложно.
• Регистрация компании. Зарегистрировать компанию на чужое имя просто так нельзя – для этого необходим оригинал паспорта. Регистрация с копиями документов считается «черной» и оспаривается в суде.
• Подделка электронной подписи. Этот файл дополнительно защищен паролем пользователя, однако если данные все же вытекли, лучше сделать новую подпись, ведь ее используют для авторизации во многих сервисах, в частности платежных.

Чем же тогда грозит утечка данных? С их помощью злоумышленники могут взломать другие сервисы – электронную почту или онлайн-банк, где для верификации часто используют паспортные данные.

Материалы по теме

Категория

Картина дня

Дата

24 января 2022

Данные украинцев из «Дии» якобы выставили на продажу. Правительство уверяет, что это фейк. Что известно

Категория

Картина дня

Дата

21 января 2022

Кибервойна уже идет – Украину почти ежедневно атакуют российские хакеры. Как мы защищаемся? Интервью главы Госспецсвязи Юрия Щиголя

Категория

Картина дня

Дата

16 января 2022

Приложение «Дія» установили 12 млн украинцев. Вот как госкомпания хранит данные украинцев. Фоторепортаж Forbes