Хто злив дані в Telegram-бот і як тепер убезпечити себе від шахраїв?
У вільному доступі опинилися дані мільйонів українців, зібрані з різних баз. Чому це допустили і як не потрапити у пастку зловмисників?
11 травня стало відомо про "злив" даних з державних реєстрів. Тепер практично у вільному доступі перебувають персональні дані українців з різних відомств. Так, у чат-боті @ua_bazabot в Telegram пропонується отримати доступ до персональних даних українців за плату — цінник стартує від 50$ за 50 запитів. За повідомленням МВС, канал було закрито, проте 13 травня створено знову, про що повідомляється на каналі бота.
Дані, надані на каналі, є компіляцією з інформаційних баз різних державних відомств та недержавних організацій за різні періоди попередніх років. Серед них — ПІБ, ідентифікаційні коди, паспортні дані, номери телефонів, номери автомобілів, а також паролі до соцмереж — LinkedIn, Вконтакте.
"Мені показало не тільки паспортні дані, мої старі паролі (старі, але на той момент справжні!) але й дані з біометричних паспортів (включаючи фото) і вишенька на торті — водійське посвідчення, про яке я навіть не здогадувався. Навіть у "Дії" його не показує, а у хлопців в базі — є", — пише з своєму пості на Facebook Володимир Фльонц, глава ГО "Електронна Демократія".
Звідки були взяті дані?
Перші підозри впали на мобільний додаток "Дія", але Міністр цифрової трансформації, один з творців програми, Михайло Федоров спростував цю новину. У своєму пості на Facebook він пояснив, що "Дія" не має бази даних, а опублікована інформація за обсягом перевищує інформацію, доступну в додатку.
Також інформацію про злив даних з "Дії" спростували і в Міністерстві.
Втім, остаточно з "Дії" підозри все ще не зняті. Експерт Школи цифрової безпеки DSS 380 Павло Білоусов розповів, що аудит щодо захисту даних перед запуском програми не проводився: "Вони нікому не показують, як працює їхня програма, з цього за замовчуванням довіри до них немає". При цьому в Мінціфри заявляють, що додаток успішно пройшов як приватні, так і державні перевірки.
Шон Таунсенд, співзасновник "Українського кіберальянсу", вважає, що "Дія" могла стати джерелом даних, але точно поки що нічого не стверджує.
"Потекти" могло і з "Дії", оскільки її серверна частина підключена до реєстрів безпосередньо, і з реєстрів. Поки точно визначити джерело витоку не можна ".
Серед джерел, що підпадають під підозру, є бази ПриватБанку і Нової Пошти, а такожі всі державні реєстри. Це також можуть бути і реєстри інших банків, страхових компаній і т.д. Володимир Фльонц заявив, що дані були взяті з баз МВС і Міграційної служби, проте ніяких пояснень з цього приводу не надав.
Павло Білоусов розповів, що є кілька способів дістати інформацію, а отже, і винуватця потрібно шукати в таких колах:
- Співробітники компаній або установ, які є розпорядниками цих даних — хтось міг елементарно зберегти дані на флешку і продати;
- Розробники і тестувальники систем і програм для зберігання інформації, у яких могли залишитися дані з баз, з якими вони працювали;
- Хакери, які знайшли помилки в програмному забезпеченні і використовували їх, щоб отримати доступ до реєстрів.
Щоб знайти порушників, Департамент кіберполіції почав розслідування за ч. 2 ст. 361 Кримінального Кодексу (Несанкціоноване втручання в роботу електронно-обчислювальних машин (комп'ютерів), автоматизованих систем, комп'ютерних мереж або мереж електрозв'язку, що призвело до витоку, втрати, підробки, блокування інформації, спотворення процесу обробки інформації або до порушення встановленого порядку її маршрутизації).
Як держава могла допустити витік даних?
Павло Білоусов розповідає, що витік даних може відбутися не тільки в Україні — це зустрічається досить часто і в інших країнах, проте не в таких обсягах, як в цьому конкретному випадку. Головною проблемою, на його думку, є застаріла законодавча база.
"В Україні основним законом, що захищає персональні дані є Закон про захист інформації. Інші норми вже давно застаріли — вони були прийняті ще в 90-х роках, коли сьогоденних технологій ще не існувало".
Ще одна причина події — відсутність єдиних стандартів для зберігання інформації:
"У нас є велика проблема з реєстрами. Всередині державних органів вони ніяк не захищені, і зберігаються в тому вигляді, в якому в даному конкретному закладі їх занесли — в таблицях Exel або Word, іноді в інших програмах або в картотеках. Зібрати до купи, захистити і актуалізувати ці дані чомусь не виходить — ніхто не знає, як правильно працювати з ними", — коментує експерт.
Що робити тим, чиї дані є у відкритому доступі?
Судячи з інформації, наданої у Telegram-боті, база дуже велика — тільки водійських прав — 26 мільйонів, тож опинитися в ній може кожен і у групі ризику знаходяться всі.
"Вирішувати цю проблему необхідно на державному рівні, і почати це робити мали ще вчора, — вважає Павло Білоусов. — Перш за все, необхідно привести в порядок законодавчу базу, актуалізувати і привести у відповідність з міжнародними нормами. По-друге, достовірність документів повинна підтверджуватися не візуально, а зіставлятися з чимось, наприклад, "вшивати" дані в права електронними способам".
Щоб убезпечити себе самостійно, в першу чергу, не перевіряйте, чи є ваші дані в цій базі. На думку Шона Таунсенда, це допоможе прив'язати до бази даних ваш номер телефону, аккаунт Телеграм-каналу та іншу інформацію.
Павло Білоусов розповів, що рішення є, — поміняти документи. Можна отримати паспорт з новим номером, інші права. "Але це — тільки тимчасове рішення. Якщо помилка залишилася, базу зіллють знову "- вважає він. До того ж, процедура зміни документів може затягнутись на деякий час та виявитись не дешевою, адже за зміну кожного документа доведеться сплатити держмито.
Найбільш дієвий спосіб — бути обачними. Отримавши ваші дані, шахраї можуть дзвонити, представляючись фахівцями служби підтримки банків, співробітниками страхових компаній або працівниками держорганів. Пам'ятайте, що в цьому випадку ніяких додаткових відомостей повідомляти не варто. Краще самостійно передзвонити в установу за номером, вказаним на офіційному сайті, або написати в службу підтримки, якщо це банк, щоб впевнитись самостійно, що дзвінок був від них.
Додаткова перевірка не завадить, вона може вберегти від оформленого на ваше ім'я кредиту чи втрати майна. Про такі підозрілі дзвінки слід обов'язково повідомити в поліцію, та сказати про це шахраям, які вам телефонують.