Українці в соцмережах повідомили про нібито зламаний додаток “Дія” та виток їхніх персональних даних. Виявилося, що в Telegram запрацював бот, який пропонує продати дані – паспорти й водійські права з фото. У Міністерстві цифрової трансформації інформацію про причетність “Дії” назвали фейком, а ось фахівці з кібербезпеки не такі категоричні. Детальніше про скандальну ситуацію – в матеріалі OBOZREVATEL.
“Хлопці, у вас “Дiя” втекла в інтернет!”
Сайт та додаток “Дія” є єдиним державним вебпорталом електронних послуг і також ключовим сервісом у проєкті “держава в смартфоні”. Вони об’єднують у собі всі послуги, які надають громадянам і бізнесу.
За три місяці роботи мобільний додаток “Дія” скачали близько трьох мільйонів користувачів.
А вже 12 травня користувачі Facebook припустили, що їхні дані могли потрапити до шахраїв із довідника “Дія”, в якому зберігаються цифрові варіанти документів.
Про ситуацію написав на своїй сторінці в Facebook бізнесмен Олександр Шевченко. За його словами, витік даних стався саме з “Дії”.
“Хлопців, у вас “Дiя” втекла в інтернет, криворукі ви е **** ти. Перевірив себе. Всі дані в базі. Фото нові, оскільки травма ока на фото вже є. Попросив товариша перевірити себе. 20 днів тому він здав паспорт і робить ID-карту, як ви думаєте, де ця інформація вже є? Правильно – у відкритому доступі”, – повідомив Олександр.
У коментарях різко відреагували користувачі соцмережі. Дехто також стверджує, що бази для продажу персональних даних оновлюються регулярно.
Про витік персональних даних із “Дії” повідомив і народний депутат від “Слуги народу” Олександр Дубинський. Він написав у Facebook, що чат-бот запропонував йому купити дані. Також нардеп звинуватив Міністерство цифрової трансформації, проте потім видалив свій пост.
За словами Дубинського, він поговорив з главою Мінцифри Михайлом Федоровим, і той пообіцяв протягом дня надати інформацію про те, хто і як зливає дані з держреєстрів.
“До моменту отримання цієї інформації пости про “Дію” видалено. Якщо інформація Михайла виявиться нерелевантною або не доведе зворотного – повернемося до теми”, – пояснив свої дії нардеп.
Керівник громадської організації “Електронна демократія” Володимир Фльонц додав на своїй сторінці в Facebook, що поки міністерство тільки виношує глобальні плани, творці Telegram-бота “з’єднали разом дані держреєстрів, бази “Нової пошти”, паролі з ВКонтакте і linkedin і рясно приправили банківською таємницею”.
“Мені показали не лише паспортні дані, мої старі паролі (старі, але на той момент справжні!), дані з біометричних паспортів (зокрема фото) і вишенька на торті – водійське посвідчення, про яке я навіть не здогадувався. Навіть у “Дії” його не показує, а в хлопців у базі – є. Ось так уже зараз виглядає їхнє цифрове майбутнє”, – написав Фльонц.
https://www.facebook.com/photo.php?fbid=10220803492970661&set=a.2203464519647&type=3
Бот продає “персоналку” і попереджає про шахраїв
Telegram-канал з пропозиціями про продаж даних був створений ще 29 березня 2020 року.
А ось 11 травня з’явилося повідомлення про виконану “велику роботу”. У незаконному сервісі з’явилася база водійських посвідчень із фото.
“Три дні фото будуть доступні у видачі для всіх, після – тільки в тарифі за 500 $, як закрита інформація і під час перевірки себе”, – було сказано в повідомленні Telegram-каналу.
Цинічно прозвучало: “Наявність фото дозволить Вам більш точно ідентифікувати об’єкт і не попастися на вудку шахрая”. У той час як продаж персональних даних – карна справа.
Для підтвердження, що дані абсолютно достовірні, було викладено скриншот із даними Олександра Грановського і Олександра Дубинського. Дещо, правда, розмили.
У самому ж чат-боті вказали, що пошук можна вести за ПІБ, номером телефону, ІПН тощо. Безкоштовно доступні тільки п’ять запитів, потім – за 500 доларів.
Міністерство цифрової трансформації: “Це фейк!”
Досить швидко відреагувало Міністерство цифрової трансформації і глава відомства – Михайло Федоров.
Суть заяв зводиться до того, що грішити на додаток “Дія” не можна, а хто поширює таку інформацію – розносить фейки.
https://www.facebook.com/eGovernanceUkraine/posts/2994551900598059
За словами Федорова, попередній аналіз інформації, яку поширює Telegram-бот, показує, що ресурс використовує старі бази даних, які вже давно доступні в Darknet. Зокрема, це база даних “Приватбанку” і ін.
Михайло Федоров стверджує, що слив даних ніяк не пов’язаний з додатком “Дія”
Скріншот
На пост Федорова іронічно відповів користувач Facebook Олег Попов.
“Почитав відповідь Федорова, він спокійно говорить, що всі бази вже давно в даркнета, тому нічого страшного. Цікаво, чому Мінціфри чи не поставила собі завдання провести ІТ-аудит кожного реєстру, якщо все вже давно гуляє, за словами самого міністра, і, судячи з усього, вони про це знали. Але хто ми такі, щоб ставити питання про цифровий трансформації, час якої настав? “, – написав він.
Злом “Дії”? Все можливо
Як розповів у коментарі OBOZREVATEL співзасновник “Українського кіберальянса” Андрій Баранович (відомий в мережі під ніком Шон Таунсенд), на даний момент не можна достовірно стверджувати, звідки саме стався витік.
“Складно визначити, чи була витік саме з” Дії “або з самих реєстрів. Але підхід Мінціфри, коли замість персональної відповідальності чиновника за дані, замість невідворотності покарання і суворого обліку (хто, коли і з якої причини звертався до реєстрів), вони намагаються звалити все в купу і розмивають відповідальність. Що обов’язково призведе і призводить до масивних витокам “, – розповів Баранович.
За його словами, раніше навіть поліція не могла безпосередньо звертатися до даних – навіть до своїх власних.
“Поліцейський писав запит і в ньому вказував причину. Залишався паперовий слід. Зараз же Мінціфра в своїй святій простоті намагається все об’єднати, значить до даних можна звертатися безконтрольно з мінімальним ризиком”, – додав хактівістом.
Він також повідомив, що далеко не скрізь фіксується, хто саме з мають легальний доступ до інформації звертався за даними по тій чи іншій особі, а ризик для нечистого на руку чиновника мінімальний.
“Головне – ризик для злодійкуватого чиновника мінімальний, а даних все більше і більше”, – додав Андрій Баранович.
Він також вважає, що Федоров, заявляючи про неможливість розголошення зі “Дії”, – не правий.
“Дія” – свого роду прошарок між користувачем і реєстрами, якщо хтось зламає сервер “Дії”, то він отримає прямий і безконтрольний доступ до реєстрів. Так що міністр не правий, це цілком можливо. Вони можуть навіть не знати про це. Як сказав сам Федоров, “роль кібербезпеки перебільшена”. Українські ресурси в основному захищені погано, і ніякої осмисленої політики, спрямованої на безпеку і захист даних, в Україні немає “, – заявив співзасновник” Українського кіберальянса “.
Хто відповість?
У Міністерстві цифровий трансформації вже заявили, що Служба безпеки України проводить слідчі дії. Однак в СБУ не змогли повідомити OBOZREVATEL подробиці. Неофіційно розповіли: “Наші поки не в курсі, що проводять розслідування. Поки з’ясовуємо, що і як”.
Тим часом варто усвідомити: спроба перевірити себе в нелегальній базі даних допомагає злочинцям верифікувати вашу персональну інформацію і зібрати відсутню. Тому “експериментувати” точно не варто.
Станом на 12 травня (14:10) з’явилася інформація, що через підвищену навантаження бот тимчасово недоступний.
КОМЕНТАРІ