Витік чи провокація? Що відомо про імовірний продаж персональних даних українців з Дії

В ніч з 21 на 22 січня на порталі RaidForums невідомий користувач під ніком FreeCivilian розмістив оголошення про нібито продаж персональних даних українців. Частина інформації, за твердженням продавця, взята з порталу Дія (diia.gov.ua). Виходить, Дію зламали?

Користувач FreeCivilian написав в оголошенні, що продає базу з персональними даними українців.

«Це дані з кількох державних департаментів. Перша частина з них — це сервіс diia.gov.ua», — говориться в оголошенні.

За ціною в 15 тисяч доларів невідомий пропонує придбати:

— 2,6 мільйона записів, котрі нібито містять: електронну пошту; прізвище, ім’я та по батькові; дату народження; телефон; стать; ІПН; серію, номер та дату видачі паспорта, а також дату, до якої дійсний паспорт — для внутрішніх та закордонних паспортів.

— 13,5 мільйонів записів в форматі JPG низької якості — фото паспортів, ID-карток, водійських посвідчень, військових квитків, дипломів та сертифікатів.

— 4,1 мільйона записів з «розширеною інформацією про громадян, включно з їхніми документами».

Потенційним покупцям FreeCivilian пропонував переконатися в якості «товару», дослідивши його безкоштовні семпли — 100 тисяч, 190 тисяч і 26 тисяч записів відповідно.

Імовірність того, що дані українців, що продаються в мережі, реальні — дуже висока. Таку думку висловили одразу кілька спеціалістів в сфері кібербезпеки (представники як державного, так і приватного сектора), з котрими спілкувався журналіст НВ Бізнес.

Однозначної відповіді на питання, чи дійсно це дані з порталу Дія, немає.

«Я не знаю точно чи це дані з Дії, але персональні дані — справжні, скан-копії документів — справжні, і кітсофтосвські вихідники теж дуже схожі на справжні. Потрібен ще час, щоб зрозуміти, що це за дані і звідки вони взялися», — говорить спікер Українського кіберальянсу Андрій Баранович (відомий в мережі як Шон Таунсенд). Баранович ознайомився зі зразками даних, котрі продає зловмисник.

Волонтер-розробник мобільного застосунку для українських військових Джура Володимир Пасіка вважає, що «дамп порталу реальний та містить «живі дані», проте він не має стосунку до бази порталу Дія. Володимир Пасіка каже, що, схоже, дані, котрі виставлені на продаж, отримані іншим шляхом (а не зломом порталу): не збігаються імена полів в базі даних і структурі бази даних порталу.

«Моя думка, що копію файлів порталу (ту частину, яка швидше система менеджменту контенту і не має доступів до даних) вкрали в когось з розробників Kitsoft і для того, щоб зімітувати контроль сервера, до файлів сайту докинули скомпільований дамп», — говорить волонтер.

Він не відкидає, що інформація про продаж бази даних з «Дії» може бути частиною російської інформаційно-психологічної операції до Дня соборності і може бути пов’язана .

«До реальних даних (дані реєстрів або доступу до серверів додатку) росіяни не дотягнулися і тому зробили тупий дефейс (опублікували якийсь шлак на сторінка державних сайтів) і видаються це за 100% доступ до сервера. Якби в них був 100% доступ до сервера стількох держсайтів його б не "палили" для незначної шкоди», — вважає Пасіка.

На те, що інформація, котру продає FreeCivilian, може бути компіляцією з кількох раніше «злитих»/зламаних державних баз, звертає увагу і етичний хакер Микита Книш:

«Скоріш за все, ми маємо компіляцію з кількох [раніше викрадених] баз даних, куди додали трішки «Дії» (імовірно, логи авторизації) для актуальності — склеїли старе і додали трохи актуальної інформації»

Книш не відкидає імовірності того, що інформація про продаж даних з порталу «Дія» може бути провокацією.

Саме провокацією та продовженням гібридної війни називають інформацію про нібито продаж бази даних українців в Мінцифри.

«Починаючи з минулих вихідних в інтернеті постійно з’являються оголошення щодо продажу даних нібито отриманих під час кібератаки, що відбулася з 13 на 14 січня. У тому числі багато оголошень стосується продажу бази даних Дії. Такі оголошення мають на меті не тільки залякати суспільство. А ще й дестабілізувати ситуацію в Україні, зупинивши роботу державного сектору», — заявили в Мінцифри.

Там додали, що мобільний застосунок Дія (хоча продавалися дані нібито з порталу) не зберігає персональних даних, а лише відображає те, що зберігається про них у відповідних державних реєстрах. Також в Мінцифрі зазначили, що відвідувачами порталу Дія є понад 13 млн українців, а не 2 млн як зазначається в оголошеннях та зазначили, що продають дані аферисти: шахраї, зазначили в міністерстві, продають старі дані, що скомплектовані з багатьох джерел, які були злиті до 2019 року.

Водночас, у Мінцифри не змогли відповісти на питання журналіста НВ Бізнес про те, хто і коли проводив аналіз дампу, опублікованого на RaidForums та до яких висновків дійшли дослідники (і чи проводився такий аналіз взагалі). Також без відповіді на момент публікації залишилося питання, з яких саме баз, «які були злиті до 2019 року», скомпільовано набір даних, котрі продає FreeCivilian.

Не додає позицій Мінцифрі і той факт, що міністерство ілюструє офіційні заяви сумнівними скріншотами нібито інших продавців даних, а не скріншотом допису FreeCivilian, чиє оголошення збентежило ІБ-спільноту.

«Успішності цій [російській інформаційно-психологічній] операції додає позиція офіційний органів, які продовжують говорити, на мою думку, не зовсім правду і посилати армію ботів на сторінку Шон Таунсенд, замість адекватної відповіді суспільству про свій провал», — зазначає Володимир Пасіка. Він, як і інші користувачі, помітив надзвичайну активність напівпустих FB-профілів імовірно ботів під дописом спікера Українського кіберальянсу: боти залишали однотипні записи про фейк російських спецслужб, дестабілізацію тощо.

Також під сумнів ставлять і той факт, що це компіляція даних, котрі «були злиті до 2019 року», адже серед зразків, наданих FreeCivilian, знаходяться дані, датовані січнем 2022.

«Підробити двадцять гігабайт архівів практично не реально, звідки ці дані потекли. Може, з Дії. Може з реєстрів, але є проблема, від неї не можна просто так відмахнутися або списати на "старі" витоки», — вважає спікер Українського кіберальянсу.

Імовірна компіляція даних, яку можуть видавати за витік з порталу Дія може означати, що зловмисники не досягли своєї мети і не отримали повного контролю над персональними даними громадян, вважає Микита Книш:

«Мене це [відсутність дійсної інформації з Дії в опублікованому] дуже радує. Імовірно, у них більше нічого немає. Це [атака 13-14 січня і продаж даних, отриманих ніби в результаті атаки] сильне приниження країни, звісно, але по суті, це холостий постріл, адже з військової точки зору це не загроза».

Ще один зі співрозмовників НВ Бізнес описав ситуацію з захистом персональних даних українців одним нецензурним словом.