В Украине снова кто-то слил данные украинцев в сеть и Дія здесь ни при чем




В Украине снова кто-то слил данные украинцев в сеть. Все начали винить Дію. Не стоит. Но что делать тем, чьи данные стали достоянием общественности?
В 2018 году для своего выступления на IForum я провел эксперимент. Темой был заявлен спич  “Темная сторона инноваций” и мне хотелось продемонстрировать участникам форума, насколько легко можно получить доступ к их персональным данным.  
В Украине существуют закрытые группы в Телеграм, куда анонимно может добавиться любой пользователь и купить различные базы данных. Мы собрали данные прошлых лет, которые буквально отдавали даром и объединили их в единую систему. Среди них были как базы частных компаний, вроде Приватбанка, Новой почты и Киевстара, так и государственные реестры. Например, база избирателей Украины. 
Настроив поиск в базе, у пользователя есть возможность не просто узнать данные конкретного пользователя, но и выяснить имена его коллег и даже соседей. Абсолютно бесплатно, с помощью лишь мобильного телефона и Excel за несколько дней была собрана база данных 11 млн украинцев. В качестве демонстрации нашей информационной уязвимости, на форуме у каждого участника была возможность “погуглить” себя в базе и увидеть, какие его данные уже стали доступны мошенникам. Практически 80% из них нашли информацию о себе в “скомпилированной” базе. 
Не так давно об утечке персональных данных снова заговорили. 
Информационным поводом стал телеграм-бот, который незаконно предоставлял персональные данные украинцев. 
Первые упоминания о боте датируются еще концом марта. Но лишь 11 мая, когда  в канале сообщили о доступе к крупному массиву данных водительских удостоверений, о нем заговорили во всеуслышание.
В поисках источника слива взгляды обратились на сервис государственных услуг “Дія”, запущенный несколько месяцев назад Министерством цифровой трансформации. Причина проста – одним из первых документов, ставшим доступным в приложении, стали как раз водительские права.
Виновна Дія или нет? 
Я решил разобраться, почему винить “Дію” не имеет смысла и что делать тем, чьи данные стали достоянием общественности. 
Начнем с простого.  Количество скачиваний приложения “Дія” на Android составило примерно 2 млн раз. Исходя из пропорций пользователей Android и IOS, можно предположить, что пользователи айфонов скачали приложение где-то 1 млн раз. 7 мая на официальной странице “Дія” опубликовали статистику скачиваний – она составила 3 млн скачиваний. В начале февраля, в момент запуска приложения, в профильном министерстве сообщили о том, что до конца года количество пользователей приложением “Дія” увеличится в тысячу раз – до 10 млн. 
При этом, необходимо отметить, что загруженные документы в приложение составляют ~ 80 % от общего количества скачанных приложений, то есть, в базе указанного приложения, при оптимистичных прогнозах, на данный момент может находится ~ 8 млн. водительских прав и технических паспортов. В самом же боте UA Baza BOT (на данный момент уже заблокирован) 11 мая вышло обновление, которое в себя включало 26 млн водительских удостоверений. 
После случившегося скандала с якобы утечкой данных из приложения “Дія” в Министерстве цифровой трансформации Украины в качестве опровержения заявили о том, что в Украине всего 9,5 млн. водительских прав, из которых в приложении отображаются 6,5 млн., что подтверждает мои калькуляции. Кроме этого, приложение “Дія” не имеет собственных баз данных и не хранит информацию на своих серверах. 
Предварительный анализ информации бота свидетельствует об использовании старых баз. Как я писал выше, все они уже давно доступны в Darknet. В частности, проведя анализ выяснилось, что данный бот с завидной регулярностью пополнялся новыми базами. 
Хронология развития и наполнение базами удаленного бота выглядела так:

14 апреля добавлена база кредитных историй 2012 – 2016 гг. (175 372 человека; 230 562 телефонов)

15 апреля добавлена база накрутки подписчиков инстаграм (СНГ) (123 344 записи: логин инстаграм, ip adress, телефон, email)

17 апреля  добавлена база контактов (148 млн. контактов)

23 апреля добавлена база 2GIS (128 075 записей с телефонами, 226 872 компаний, 32 998 email, 4 199 сайтов)

30 апреля добавлена база недействительных и утерянных паспортов (6 711 763 документов)

 03  мая добавлена база резюме с IT-ресурса habr.com (160 000 резюме, 90 % с фото)

04 мая добавлена фб-база (285 638 анкет людей, которые участвовали в агитации за различные политические силы)

 07 мая добавлена база JTP Partner Украина (14 000 контактов официальных представителей JTP Partner)

11 мая добавлена база водительских удостоверений с фото (26 млн. удостоверений водительских прав, 5,2 млн. фото)

На данный момент бот заблокирован, но вместе с тем в сети множатся фейковые аккаунты с подобным названием, которые также предлагают продажу данных за $50-200. На деле такие аккаунты не имеют никаких баз, а являются обыкновенными паразитами на фоне подогретого интереса к теме. 
Что это значит для пользователей? 
Лишь то, что пора перестать верить в то, что наша приватность может быть нарушена. Она утрачена и утрачена навсегда. Гарантировать безопасность наших персональных данных на данный момент не могут ни государственные органы, ни частные компании. 
Кроме этого, мы самостоятельно ежедневно добровольно отдаем свои данные различным сервисам и должны быть готовы к тому, что рано или поздно они станут доступны другим людям.
Здесь, как с коронавирусом – невозможно противостоять угрозе, но можно выработать безопасные правила поведения:

Имейте разные почты для рабочих и личных задач. Устанавливайте сложные (неочевидные) комбинации паролей и периодически их меняйте; 

Проводите ревизию почт и удаляйте письма с конфиденциальной/личной информацией (пароли, телефоны, адреса, данные паспортов);

Имейте отдельный номер телефона для финансовых операций. Не указывайте его нигде и  не используйте для других целей, кроме банковских операций;

Привяжите аккаунты социальных сетей к отдельной почте, не связанной другими почтами (в том числе, отсутствие связи по названию почт);

Внимательно относитесь к входящим письмам, в которых использована ваша личная информация (марка и номер автомобиля, домашний адрес или имена родственников). Валидируйте такие письма из нескольких источников и лишь потом отвечайте на них.

Алексей КУПРИЕНКО



Источник – antikor.com.ua

Leave a Reply

Your email address will not be published. Required fields are marked *