Кто слил данные в Telegram-бот и как теперь обезопасить себя от мошенников?
В свободном доступе оказались данные миллионов украинцев, собранные из разных баз. Почему это допустили и как не попасться на уловки злоумышленников?
11 мая стало известно о "сливе" данных из государственных реестров. Теперь практически в свободном доступе пребывают персональные данные украинцев из разных ведомств. Так, чат-бот @ua_bazabot в Telegram предлагает предоставить доступ к персональным данным украинцев за плату — ценник стартует от 50$ за 50 запросов. По сообщению МВД, канал был закрыт, однако 13 мая создан вновь, о чем сообщается на канале бота.
Данные, предоставленные на канале, являются компиляцией из информационных баз различных государственных ведомств и негосударственных организаций за различные периоды предыдущих лет. Среди них — ФИО, идентификационные коды, паспортные данные, номера телефонов, номера автомобилей, а также пароли к соцсетям — LinkedIn, Вконтакте.
"Мне показало не только паспортные данные, мои старые пароли (старые, но на тот момент настоящие!) но и данные с биометрических паспортов (включая фото) и вишенка на торте — водительское удостоверение, о котором я даже не догадывался. Даже в «Дие» его не показывает, а у ребят в базе — есть" — пишет с своем посте на Facebook Владимир Фльонц, глава ГО "Электронная Демократия".
Откуда были взяты данные?
Первые подозрения пали на мобильное приложение "Дія", но Министр цифровой трансформации, один из создателей приложения, Михаил Федоров опроверг эту новость. В своем посте на Facebook он объяснил, что "Дія" не имеет базы данных, а опубликованная информация по объему превышает информацию, доступную в приложении.
Также информацию о сливе данных из "Дії" опровергли и в Министерстве.
Впрочем, окончательно с "Дії" подозрения все еще не сняты. Эксперт Школы цифровой безопасности DSS 380 Павел Белоусов рассказал, что аудит по защите данных перед запуском приложения не проводился: "Они никому не показывают, как работает их программа, поэтому по умолчанию доверия к ним нет". При этом в Минцифры заявляют, что приложение успешно прошло как частные, так и государственные проверки.
Шон Таунсенд, сооснователь «Украинского киберальянса», считает, что «Дія» могла стать источником данных, но точно пока что ничего не утверждает.
«Потечь» могло и из «Дії», так как ее серверная часть подключена к реестрам напрямую, и из реестров. Пока точно определить источник утечки нельзя».
Среди подозреваемых источников являются базы ПриватБанка и Новой Почты, а также все государственные реестры. Это также могут быть и реестры других банков, страховых компаний и т.д. Владимир Фльонц заявил, что данные были взяты из баз МВД и Миграционной службе, однако никаких объяснений на этот счет не предоставил.
Павел Белоусов рассказал, что есть несколько способов достать информацию, а значит и виновника нужно искать в таких кругах:
- Сотрудники компаний или учреждений, которые являются распорядителями этих данных — кто-то мог элементарно сохранить данные на флешку и продать;
- Разработчики и тестировщики систем и программ для хранения информации, у которых могли остаться данные из баз, с которыми они работали;
- Хакеры, которые нашли ошибки в программном обеспечении и использовали их, чтобы получить доступ к реестрам.
Чтобы найти нарушителей, Департамент киберполиции начал расследование по ч. 2 ст. 361 Уголовного Кодекса (Несанкционированное вмешательство в работу электронно-вычислительных машин (компьютеров), автоматизированных систем, компьютерных сетей или сетей электросвязи, что привело к утечке, потере, подделке, блокированию информации, искажению процесса обработки информации или к нарушению установленного порядка ее маршрутизации).
Как государство могло допустить утечку данных?
Павел Белоусов рассказывает, что утечка данных может произойти не только в Украине — это частая ситуация и для других стран, однако не в таких объемах, как в этом конкретном случае.
Главной проблемой, по его мнению, является устаревшая законодательная база.
"В Украине основным законом, защищающим персональные данные является Закон о защите информации. Другие нормы уже давно устарели — они были приняты еще в 90-х годах, когда сегодняшних технологий еще не было".
Еще одна причина произошедшего — отсутствие единых стандартов для хранения информации:
"У нас есть большая проблема с реестрами. Внутри государственных органов они никак не защищены, и хранятся в том виде, в каком в данном конкретном учреждении их занесли — в таблицах Excel или Word, иногда в других программах или в картотеках. Собрать в кучу, защитить и актуализировать эти данные почему-то не получается — никто не знает, как правильно работать с ними", — комментирует эксперт.
Что делать тем, чьи данные есть в открытом доступе?
Судя по информации, предоставленной создателям Telegram-бота, база очень обширная — только водительских прав — 26 миллионов, — оказаться в ней может каждый, и все находятся в группе риска.
"Решать эту проблему необходимо на государственном уровне, и начать это делать нужно было еще вчера, — считает Павел Белоусов. — Прежде всего, необходимо привести в порядок законодательную базу, актуализировать и привести в соответствие с международными нормами. Во-вторых, достоверность документов должна подтверждаться не визуально, а сопоставляться с чем-то, например, "вшивать" данные в права электронными способам".
Чтобы обезопасить себя самостоятельно, в первую очередь, не стоит проверять, есть ли ваши данные в этой базе. По мнению Шона Таунсенда, это поможет привязать к базе данных ваш номер телефона, аккаунт Телеграмм-канала и другую информацию.
Павел Белоусов рассказал, что одна из мер безопасности — смена документов. Можно получить паспорт с новым номером, новые права. «Но это — только временное решение. Если ошибка осталась, базу сольют снова», — считает он. К тому же, процедура изменения документов может затянуться на некоторое время и оказаться дорогостоящей, ведь за смену каждого документа придется заплатить госпошлину.
Наиболее действенный способ — быть осмотрительными. Получив ваши данные, мошенники могут звонить, представляясь специалистами службы поддержки банков, сотрудниками страховых компаний или работниками госорганов. Помните, что в этом случае никаких дополнительных сведений сообщать не стоит. Лучше самостоятельно перезвонить в учреждение по телефону, указанному на официальном сайте, или написать в службу поддержки, если это банк, чтобы убедиться, что звонили они, а не мошенники.
Дополнительная проверка не помешает, она может уберечь от оформленного на ваше имя кредита или потери имущества. О таких подозрительных звонках следует обязательно сообщить в полицию, и сказать об этом мошенникам, которые вам звонят.