Наскільки “Дія” причетна до витоку даних



Особиста інформація мільйонів українців виявилася у відкритому доступі. Знову. Спочатку в цьому звинуватили додаток «Дія», однак згодом силовики заявили: до витоку баз даних можуть бути причетні посадові особи Міністерства внутрішніх справ і Державної міграційної служби.
Інформпростір сколихнув черговий скандал. На цей раз пов’язаний з продажем персональних даних мільйонів українців через один з Telegram-каналів. Про це заговорили 12 травня, коли засновник громадської організації «Електронна демократія» Володимир Фленц спробував використовувати цей сервіс і за запитом отримав свої паспортні та біометричні дані, водійське посвідчення і старі паролі від різних акаунтів.
«Пару місяців назад # Мінціфра обіцяла, що самі, без вашої участі, створять головний ідентифікатор (в обхід Закону про Єдиний дем.реестр, до речі) завдяки якому об’єднають д̶в̶а̶д̶ц̶а̶т̶ь̶ ̶к̶о̶л̶е̶ц всі реєстри країни і настане цифрове р̶а̶б̶ щастя. Не знаю як у # мінціфри – а ось у хлопців зі скріншота все вийшло. Ні, правда, хлопці молодці. З’єднали разом дані Держ.реєстрі, основи нової пошти, паролі з Вконтакте і linkedin, рясно приправили банківською таємницею і результат, як то кажуть, на табло: Мені показало не тільки паспортні дані, мої старі паролі (старі, але на той момент справжні!) але і дані з біометричних паспортів (включаючи фото) і вишенька на торті – водійське посвідчення, про який я навіть не здогадувався. Навіть в “дие” його не показує, а у хлопців в базі – є », – написав Фленц.

Після цього деякі користувачі соцмереж кинулися перевіряти доступну інформацію про себе: хтось знайшов тільки дані з відкритих реєстрів, інші – застарілі дані, а хтось – своє водійське посвідчення кінця 2019 року. Спочатку в можливому витоку інформації звинуватили додаток «Дія», розрекламоване урядом. Нібито саме через нього стався слив даних. Але згодом правоохоронці заявили, що до витоку інформації з реєстрів можуть бути причетні Міністерство внутрішніх справ і Державна міграційна служба.
«Слідчі Головного слідчого управління Державного бюро розслідувань почали досудове розслідування за фактом витоку інформації, що містить персональні дані громадян України і яка була поширена в одному з анонімних телеграм каналів. За попередньою інформацією, до витоку персональних даних можуть бути причетні посадові особи Головного сервісного центру МВС України та Державної міграційної служби. Досудове розслідування розпочато за фактами перевищення влади або службових повноважень працівниками правоохоронних органів, що спричинило тяжкі наслідки та несанкціонований збут або розповсюдження інформації з обмеженим доступом, що заподіяло істотну шкоду, вчинений за попередньою змовою групою осіб (ч. 3 ст. 365 і ч. 2 ст. 361-2 Кримінального кодексу України) », – повідомила прес-служба ГБР ввечері 13 травня.
витоку інформації
Власне, історія про витік персональних даних не нова. Останній гучний скандал, пов’язаний з продажем баз даних стався в лютому 2018 – тоді торгували інформацією клієнтів Нової пошти. Фактично у відкритому доступі виявилися дані 18 млн людей з різною деталізацією: імена, телефони, серія і номери паспортів, місто проживання, електронні адреси.
Разом з тим слід визнати торгівля персональними даними існує десятки років. Ще на початку 2000-х на ринку «Петрівка» в Києві за певну суму можна було купити різні бази даних на CD-дисках і дізнатися місце реєстрації людини, його домашній телефон, місце роботи, інформацію про рухоме або нерухоме майно, яке йому могло належати і тому подібне.
«Насправді торгівля базами даних існує з періоду, коли комп’ютер вдома був розкішшю, а не звичайним пристроєм. Найбільше кияни пам’ятають книжковий ринок «Петрівка» – там можна було купити майже будь-яку базу даних. Наприклад, у мене до цих пір десь повинен бути диск, куплений на «Петрівці» з базою ДАІ за 2005 рік », – розповідає букви активіст Українського кіберальянса, фахівець з кібербезпеки Андрій Перевезій.
Крім того, час від часу у відкритому доступі виявляються телефони, адреси, електронні пошти різних публічних осіб: чиновників різного рівня, народних депутатів, журналістів. За запитом «купити базу даних» в пошукових системах можна знайти таблиці з номерами телефонів для спам-розсилок, пропозиції «пробити» людей за паспортними даними, кредитну історію тощо. Вартість коливається від декількох десятків до декількох сотень доларів.
Якщо ж говорити про гучні витоках інформації, то можна згадати як кілька років тому сепаратисти так званих ДНР і ЛНР опублікували список журналістів, акредитованих при Міністерстві оборони для роботи в зоні антитерористичної операції. У відкритому доступі виявилися кілька тисяч мобільних номерів та електронних адрес. Частина журналістів отримала погрози. Правоохоронні органи обіцяли розібратися з джерелом витоку. А 2019 го історія повторилася, але в меншому масштабі: тоді група журналістів після подачі заявок на акредитацію для роботи в зоні Операції об’єднаних сил почала отримувати погрози від сепаратистів.
У контексті захисту даних можна згадати про акцію українських хакерів #fucktheresponsibledisclosure, під час якої активісти проявляли уразливості систем захисту різних державних структур і відкрито про це повідомляли. Скажімо, за кілька років такої роботи у відкритому доступі знайшли різні бази щодо громадян (на кшталт списку військовослужбовців певній галузі) і дірки в захисті, які давали доступ до тих чи інших документів. Найцікавіше, що для виявлення цих проблем було достатньо лише інтернет-браузера.
«Звичайно, в приватному секторі ситуація значно краща. Бізнес в разі витоку зазнає збитків – репутаційні та матеріальні. А ось в державних структурах крайніх зазвичай немає. І ситуація буде залишатися незмінною, поки чиновники не почнуть персонально відповідати за збереження даних. І тільки технічними засобами це завдання не вирішити », – пояснює букв Андрій Баранович, активіст Кіберальянсу більш відомий як Шон Таунсенд.
Його колега Андрій Перевезій додає: зараз важко говорити про безпеку персональних даних в принципі.
«Якщо ви віддаєте свої персональні дані державі – їх неможливо убезпечити. Так само, коли ви віддаєте комусь свої дані – завжди існує ризик того, що доступ до такої інформації отримають через треті руки. У той же час особливість зберігання персональних даних державою в тому, що воно не питає у вас – чи хочете ви, щоб ваші дані зберігалися. І якщо держава навчиться зберігати цю інформацію – то і небезпека витоку стане мінімальним. Власне, якщо різні державні структури зберігають ваші дані, то зовсім не обов’язково, що вони потраплять у відкритий доступ. Хоча, у випадку з тим же UA Baza Bot у відкритому доступі присутні мінімум 3 державних бази даних », – розповів Перевезій.
Якщо ж говорити в цілому, то в Кіберальянсе відзначають: ситуація зі зберіганням персональних даних в Україні плачевна. Однак відомі випадки, коли комерційні структури почали проходити міжнародну сертифікацію своїх систем безпеки саме по зберіганню такої інформації. Перш за все це стосується компаній, які працюють з персональними даними, які надходять з Європейського союзу і потрапляють під дію GDPR (General Data Protection Regulation – регламент в рамках законодавства ЄС щодо захисту персональних даних всіх осіб в межах ЄС. Також це стосується експорту персональних даних по межі ЄС – ред.).
Старі-нові витоки
Можна припустити, що анонімний Telegram канал, через який відбувається продаж персональних даних, існує тривалий час. Супутній канал, який нібито повідомляє актуальні новини щодо надходжень оновленої інформації, створений в кінці березня цього року. Однак в першому ж повідомленні йдеться, що це «наш новий бот». Тому логічно припустити, що цей бізнес існує протягом декількох місяців, а то й років.
Судячи з повідомлень, у власників каналу є доступ до бази кредитних історій за 2012-2016 роки, більше 100 млн телефонних номерів, в тому числі народних депутатів, дані по юридичним особам (в тому числі з бази одного з інформаційних агентств), бази недійсних і загублених паспортів, ідентифікаційних номерів фізичних осіб, акаунти і паролі до них в різних соціальних мережах тощо. Загалом заявлено 900 гігабайт інформації. Також вони стверджують, що не купують бази і користуються відкритими даними.
З початку в можливому витоку і рядові користувачі, і експерти з безпеки підозрювали додаток «Дія», яке повинно об’єднати різні бази даних та дозволяти користуватися чи не всіма можливими документами за допомогою смартфона. Правда, адміністрація «Дні» запевнила, що їх дітище до цього не має ніякого відношення.
«Вчора телеграм-бот UA Baza злив базу даних з 26 мільйонами водійських посвідчень. Чутки, що до цього причетна «Дія» безпідставні. Це неможливо навіть теоретично. Ось чому: «Дія» не має бази даних і не накопичує таку інформацію; Обсяги інформації, доступні в боті, в десятки, а то і сотні разів, перевищує ту, з якою працює «Дія»: аналіз бота свідчить про використання старих баз даних, які вже не один рік доступні в даркнета. Йдеться про базу ПриватБанку, а також інших приватних баз даних. Наприклад, в боті доступні паролі Вконтакте, Linkedin », – повідомили в своєму Telegram-каналі адміністратори додатки.
Вже 13 травня на захист «Дні» став прем’єр-міністр Денис Шмигаль. Він заявив журналістам, що витік даних сталася ще півроку тому і не має нічого спільного з додатком для оцифровки документів.
«Те, що ви бачите в інтернеті, це дійсно відбулося. У зв’язку з цим відкрито кримінальне провадження. Це сталося більше, ніж півроку тому, коли були старі реєстри даних. Нові реєстри повністю захищені », – заявив Шмигаль і додав, що« Дія »абсолютно захищена система.
Тут варто відзначити, що всі можливі витоки інформації можна розділити на два умовних типи: ненавмисні і навмисні. У першому випадку швидше йдеться про персонал, який через низьку кваліфікацію або незнання залишає у відкритому доступі різну інформацію.
Наприклад, адміністратори сайтів державних структур залишають доступними і не запаролений для користувачів інтернету таблиці з акаунтами і паролями до своїх соцмережах (скажімо, як свого часу дані про акаунт і пароль Twitter МВС Київської області) або бази даних пенсіонерів міста.
У другому ж випадку мова йде про людей, які свідомо продають або віддають інформацію третім особам або зламують ті чи інші ресурси, часто користуючись низькою кваліфікацією вже згаданих адміністраторів сайтів.
Наприклад, тут можна згадати онлайн-сторінки магазинів, яким люди часто залишають свої персональні дані: мобільні телефони, електронні адреси, паспортні дані тощо. Тому пан Шмигаль в своїй заяві дещо лукавить, адже «абсолютно захищених» систем не може існувати за визначенням. А джерело витоку хоч і важко, але можливо виявити.
«У будь-якому випадку можливо проаналізувати – а звідки ж була витік. Для цього треба проаналізувати масиви даних, з’ясувати приблизну дату витоку. В даному випадку більшість баз даних прописали самі власники Telegram-каналу – це база даних Вибори 2014 року, Нова пошта 2017 року, База даних Вконтакте 2018 року, відкриті дані від Open Data Bot. Але головне – це свіжа база даних документів, виданих в грудні 2019 го, січні-лютому 2020 го. Найімовірніше, це могла бути Дія », – переконаний Перевезій.
Він також зазначає, що заяви адміністрації додатку про те, що воно не має власної бази даних, а тому не причетне до витоку, не витримують критики. Оскільки сама «Дія» дає доступ до різних баз даних.
«Якщо пояснювати на пальцях, то все виглядає наступним чином. «Дія» не має своєї бази даних, це правда. Але вона є ключем до різних баз даних. Припустимо, у вас є десяток дверей. І ви робите універсальний ключ, яким можна відкрити всі ці двері. Ось це і є додаток «Дія». Якщо виключити її, то виходить, що стався злам бази даних Нацполіціі? З огляду на, що в Telegram-каналі були присутні дані нових ID-карт і нових водійських посвідчень. Але є велика ймовірність, що витік стався через існуючі уразливості додатки. Власне, те, що вони показали дослідження окремих людей. І повірте, вразливість там не одна », – зазначає Перевезій.
У той же час об’єднання експертів «Лабораторія цифрової безпеки» зазначає, що більшість інформації, яка потрапила у відкритий доступ, дійсно не нова.
«Судячи з інформації з відкритих джерел, ця база дійсно не нова, а компіляція кількох злитих баз даних різних років. І навіть якщо б сьогодні злили всю інформацію по «Діє», нічого нового там, швидше за все, не з’явилося б. Всі ці дані були злиті ще до неї. Паспортні дані, місце прописки, права, номер авто або інформація про власність – це та інформація, яка змінюється дуже часто і залишається актуальною протягом довгого періоду. Це ендемічна проблема баз даних, особливо державних: вони погано захищені, погано побудовані, незрозуміло як адмініструються, до них має доступ величезна кількість людей і цей доступ дуже погано контролюється », – написали представники Лабораторії цифрової безпеки на своїй сторінці в Facebook.

У той же час представники Кіберальянса в коментарі букви відзначили, що можливість витоку через «Дію» не можна виключати. Більш того – це додаток викликає ряд питань не тільки в силу технічних особливостей, але і через організаційні.
«Сам підхід на об’єднання реєстрів і автоматичний обмін даними між ними загрожує великими проблемами. Для того, щоб захищати дані, їх потрібно розділяти і у кожного набору даних має бути «ім’я». Це робиться для того, щоб в разі витоку хтось за це відповідав. Ініціатива Міністерства цифровий трансформації в даному випадку знижує ризик такої відповідальності. Більш того, проблема в самому додатку. Де проектна документація? Хто відповідає за безпеку і функціонал? Що станеться, якщо відбудеться витік? Де сертифікати з безпеки як самого додатка, так і алгоритму його роботи? »- зазначають Баранович і Перевезій.
Поки ж Національна поліція, Служба безпеки і Госбюро розслідувань будуть шукати винних, пересічним українцям варто змиритися з тим, що їх персональні дані держава не здатна захистити.
Тому такі витоку час від часу будуть траплятися. Убезпечити ж чутливу інформацію про себе українці здатні самостійно. Поради, які дають експерти з кіберзахисту не нові.
Двухфакторная аутентифікація до всіх можливих соціальних мереж та електронної пошти. Для різних дощок оголошень слід мати окремий номер телефону і окрему віртуальну банківську карту. Для банківських операцій також радять завести окремий мобільний номер.
Що стосується соціальних мереж – свій профіль варто налаштувати таким чином, щоб незнайомі вам люди не могли бачити чутливу для вас інформацію: родинні зв’язки, ваших друзів, фотографії тощо. Також не варто додавати в друзі людей, яких ви особисто не знаєте. А для реєстрації в програмах лояльності різних магазинів варто завести собі окрему поштову скриньку і мобільний номер. І, звичайно, не варто залишати інформацію про себе на сумнівних ресурсах.



Источник – kurs.com.ua

Related Articles

Leave a Reply

Your email address will not be published. Required fields are marked *