alt
НВ Премиум
6 карточек

Утечка или провокация? Что известно о вероятной продаже персональных данных украинцев из «Дии»

24 января, 10:07

НВ Бизнес собрал все, что на текущий момент известно о продаже вероятной базы с персональными данными украинцев.

1

— Кто и что выставил на продажу?

В ночь с 21 на 22 января на портале RaidForums неизвестный пользователь под ником FreeCivilian разместил объявление о якобы продаже персональных данных украинцев. Часть информации, по утверждению продавца, взята из портала Дия (diia.gov.ua). Выходит, Дию взломали?

Пользователь FreeCivilian написал в объявлении, что продает базу с персональными данными украинцев.

«Это данные из нескольких государственных департаментов. Первая часть — это сервис diia.gov.ua», — говорится в объявлении.

По цене в 15 тысяч долларов неизвестный предлагает приобрести:

— 2,6 миллиона записей, которые якобы содержат: электронную почту; фамилию, имя и отчество; дату рождения; телефон; пол; ИНН; серию, номер и дату выдачи паспорта, а также дату, по которую действителен паспорт — для внутренних и загранпаспортов.

— 13,5 миллионов записей в формате JPG низкого качества — фото паспортов, ID-карт, водительских удостоверений, военных билетов, дипломов и сертификатов.

— 4,1 миллиона записей с «расширенной информацией о гражданах, включая их документы».

Потенциальным покупателям FreeCivilian предлагал убедиться в качестве «товара», исследовав его бесплатные сэмплы — 100 тысяч, 190 тысяч и 26 тысяч записей соответственно.

2

— Это настоящие данные?

Вероятность того, что продаваемые в сети данные украинцев реальны — очень высока. Такое мнение высказали несколько специалистов в сфере кибербезопасности (представители как государственного, так и частного сектора), с которыми общался журналист НВ Бизнес.

3

— Это данные из Дии?

Однозначного ответа на вопрос, действительно ли это данные с портала Дия, нет.

«Я не знаю точно ли эти данные из Дии, но персональные данные — настоящие, скан-копии документов — настоящие, и китсофтосвские исходники тоже очень похожи на настоящие. Нужно еще время, чтобы понять, что это за данные и откуда они взялись», — говорит спикер Украинского киберальянса Андрей Баранович (известный в сети как Шон Таунсенд). Баранович ознакомился с образцами данных, которые продает злоумышленник.

Волонтер-разработчик мобильного приложения для украинских военных Джура Владимир Пасика считает, что «дамп портала реален и содержит «живые данные», однако он не имеет отношения к базе портала Дия. Владимир Пасика говорит, что, похоже, выставленные на продажу данные, получены другим путем (а не взломом портала): не совпадают имена полей в базе данных и структуре базы данных портала.

«Мое мнение, что копию файлов портала (ту часть, которая скорее система менеджмента контента и не имеет доступов к данным) украли у кого-то из разработчиков Kitsoft и для того, чтобы сымитировать контроль сервера, к файлам сайта бросили скомпилированный дамп», — говорит волонтер. .

Он не исключает, что информация о продаже базы данных из Дии может быть частью российской информационно-психологической операции ко Дню соборности и может быть связана.

«До реальных данных (данные реестров или доступа к серверам приложения) россияне не дотянулись и потому сделали тупой дефейс (опубликовали какой-то шлак на странице государственных сайтов) и выдают это за 100% доступ к серверу. Если бы у них был 100% доступ к серверу стольких госсайтов, его бы не "кпалили" для незначительного ущерба», — считает Пасика.

На то, что информация, продаваемая FreeCivilian, может быть компиляцией из нескольких ранее «слитых»/взломанных государственных баз, обращает внимание и хакер Никита Кныш:

«Скорее всего, мы имеем компиляцию из нескольких [раньше похищенных] баз данных, куда добавили немного «Дии» (вероятно, логи авторизации) для актуальности — склеили старое и добавили немного актуальной информации»

Кныш не исключает вероятности того, что информация о продаже данных с портала «Дия» может быть провокацией.

4

— Что говорят государственные органы?

Именно провокацией и продолжением гибридной войны называют информацию о якобы продаже базы данных украинцев в Минцифре.

«Начиная с минувших выходных в интернете постоянно появляются объявления о продаже данных якобы полученных во время кибератаки, состоявшейся с 13 на 14 января. Среди них много объявлений касается продажи базы данных Дии. Такие объявления преследуют цель не только запугать общество. А еще и дестабилизировать ситуацию в Украине, остановив работу государственного сектора», — заявили в Минцифре.

Там добавили, что мобильное приложение Дия (хотя продавались данные якобы с портала) не хранит персональные данные, а лишь отражает то, что хранится о них в соответствующих государственных реестрах. Также в Минцифры отметили, что посетителями портала Дия являются более 13 млн украинцев, а не 2 млн как отмечается в объявлениях и отметили, что продают данные аферисты: мошенники, отметили в министерстве, продают старые данные, скомплектованные из многих источников, слитых до 2019 года.

5

— Почему позицию Минцифры ставят под вопрос?

В то же время, в Минцифре затруднились ответить на вопрос журналиста НВ Бизнес о том, кто и когда проводил анализ дампа, опубликованного на RaidForums и к каким выводам пришли исследователи (и проводился ли такой анализ вообще). Также без ответа на момент публикации остался вопрос, из каких именно баз, «которые были слиты до 2019 года», скомпилирован набор данных, которые продает FreeCivilian.

Не добавляет позиций Минцифре и тот факт, что министерство иллюстрирует официальные заявления сомнительными скриншотами якобы других продавцов данных, а не скриншотом сообщения FreeCivilian, чье объявление смутило ИБ-сообщество.

«Успешности этой [российской информационно-психологической] операции добавляет позиция официальных органов, которые продолжают говорить, на мой взгляд, не совсем правду и посылать армию ботов на страницу Шон Таунсенд, вместо адекватного ответа обществу о своем провале», — отмечает Владимир Пасика. Он, как и другие пользователи, заметил чрезвычайную активность полупустых FB-профилей предположительно ботов под сообщением спикера Украинского киберальянса: боты оставляли однотипные записи о фейке российских спецслужб, дестабилизации и т.д.

Также под сомнение ставят и тот факт, что это компиляция данных, которые были слиты до 2019 года, ведь среди образцов, предоставленных FreeCivilian, находятся данные, датированные январем 2022 года.

6

— Если это утечка не из Дии, значит с данными все хорошо?

Подделать двадцать гигабайт архивов практически не реально, откуда эти данные потекли. Может, из Дии. Может, из реестров, но есть проблема, от нее нельзя просто так отмахнуться или списать на "старые" утечки», — считает спикер Украинского киберальянса.

Вероятная компиляция данных, которую могут выдавать за утечку с портала Дия может означать, что злоумышленники не достигли своей цели и не получили полный контроль над персональными данными граждан, считает Никита Кныш:

«Меня это [отсутствие действительной информации из Дии в опубликованном] очень радует. Вероятно, у них больше ничего нет. Это [атака 13-14 января и продажа данных, полученных в результате атаки] сильное унижение страны, конечно, но по сути это холостой выстрел, ведь с военной точки зрения это не угроза».

Еще один из собеседников НВ Бизнес описал ситуацию с защитой персональных данных украинцев одним нецензурным словом.

Радіо НВ