Переглянуло:

У Telegram продають 900 ГБ персональних даних українців. Звідки дані і що робити?

Telegram-бот UA Baza акумулював дані з державних реєстрів та комерційних компаній. Серед них – Нова Пошта і Приватбанк

У травні 2019 року в Україні запустили систему “Трембіта”, яка повинна об’єднати дані з різних державних реєстрів. Поки реалізація державної системи триває, на чорному ринку вже пропонують купити дані громадян з державних і комерційних реєстрів за $ 500. Один з таких масивів даних акумулював 900 гігабайт персональної інформації українців.

Кореспондент Liga.Tech розбиралася, що сталося і при чому тут мобільний додаток “Дія”.

Що сталося?

У березні в Telegram з’явився анонімний канал і бот, в яких можна було “пробити” особисту інформацію про українських громадян. Інформація підтягувалася з деяких державних реєстрів, а також баз даних приватних компаній. Зокрема, бот видавав дані з утікших раніше баз даних Приватбанку і Нової Пошти.

11 травня в каналі повідомили, що в базі з’явилися дані про водійських правах 5,2 млн українців. Безкоштовно будь-який користувач міг зробити 5 запитів, а за $ 500 – отримати доступ до всієї бази.

Цим сервісом скористався засновник громадської організації “Електронна демократія” Володимир Фльонц. Пошук видав паспортні дані Фльонца, старі паролі від його акаунтів в LinkedIn і ВКонтакте, а також дані біометричного паспорта і водійських прав.

Володимир передбачає, що частина даних могла витекти з Єдиного державного демографічного реєстру, адміністратором якого є державне підприємство “Документ”. Зокрема, біометричні дані, які збиралися перед впровадженням безвіза України з країнами Шенгенської зони.

Після розголосу багато користувачів Facebook вирішили перевірити актуальність даних в базі, які є в розпорядженні Telegram-каналу. Журналісту Андрію Яницький бот повідомив, що він не перебуває в шлюбі, хоча насправді Андрій в шлюбі більше 5 років.

Деякі користувачі відзначили, що раніше заповнили документи в Приватбанку з помилками – і потім побачили ці помилки у видачі бота. Іншим користувачам бот показав інформацію про видалені акаунти в соцмережі ВКонтакті. Проте багато користувачів знайшли в базі свіжі дані про себе. Наприклад, недавно видані електронні права.

Вдень 12 травня бот перестав відповідати на запити користувачів, а потім був відключений.

Звідки дані

Зливи реєстрів з персональними даними – не новинка для України. Уже легендарними стали торговці з Петрівки, які продають їх за $ 100-200 доларів. Однак вперше розрізнені бази даних з державних реєстрів, комерційних компаній і соціальних мереж (LinkedIn, ВКонтакті) були об’єднані в зручній формі бота в Telegram.

Всього, якщо вірити творцям бота, вони зібрали 900 гігабайт баз даних: 110 млн номерів телефонів, 148 млн контактів, 4,5 млрд емейлів, 3,4 млрд паролів, 51 млн ідентифікаційних кодів і 4,3 млн номерів автомобілів.

В окремому каналі адміністратори бота ділилися оновленнями бази. У боті була база від Інтерфаксу про 880 тис. Компаній з контактами їх керівників, база 2GIS з даними 226 тис. Компаній. HR-ам бот пропонував 160 тис. Резюме з IT-ресурсу habr.com. Були дані з злитих баз Нової Пошти та Приватбанку до націоналізації.

З державних реєстрів в боті були дані з бази виборців 2014 року і деякі дані з ЕГДР – саме до них відносяться фотографії на біометрику, які прив’язані до ІПН. Схоже, що використовувалися дані з сервісних центрів МВС. Також в базі бота була інформація з відкритих реєстрів, доступних публічно (зокрема, ФОПи).

Керівник IT-департаменту ОПУ Єгор Папишев вважає, що адміністратори бота просто використовували існуючі бази персональних даних, щоб отримати більше грошей без будь-яких витрат. Вони обійшли своєю увагою, наприклад, базу власників зброї, бази великих рітейлерів, сервіси мікрокредитування і інтернет-провайдерів.

“Багато чого вже давно є у відкритому доступі, а всі інші бази можна придбати в даркнета за невеликі гроші”, – відзначає Папишев.

Бази даних потрапляють у відкритий доступ двома шляхами – випадково або навмисно.

Для того, щоб дані випадково потрапили в мережу, досить, щоб адмін забув поставити пароль. Так нещодавно сталося з базою вебкам-сайту CAM4. У відкритому доступі виявилися дані 11 мільйонів користувачів: імена, електронні адреси, IP-адреси, хешировать паролі і інформація про сексуальні переваги.

Набагато частіше дані з реєстрів потрапляють в мережу навмисне – завдяки корумпованим чиновникам і адміністраторам, а також хакерам. Так свого часу сталося з базою даних Приватбанку.

Liga.Tech відправила в банк запит, що зараз банк робить для захисту даних користувачів, і чекає на відповідь.

При чому тут “Дія”

Відразу після того, як в мережі з’явилася інформація про торгівлю даними, у багатьох користувачів виникла підозра в тому, що джерелом витоку може бути додаток “Дія”, розроблене Міністерством цифрової трансформації.

Співзасновник волонтерського об’єднання «Український кіберальянс» Андрій Баранович (Sean Townsend) зазначає, що визначити джерело витоку дуже складно. При цьому він вважає, що не можна виключати і “Дію”, тому що у серверній частині програми є прямий доступ до реєстрів.

У міністерстві цифрової трансформації Liga.Tech повідомили, що персональні дані користувачів не зберігаються на серверах додатка, інформація в каналах передачі даних передається в зашифрованому вигляді, а на деяких етапах використовується подвійне шифрування. Сервери мобільного додатка знаходяться в Україні. Серверна частина системи розгорнута в хмарній інфраструктурі, яка має необхідні сертифікати безпеки, запевняють в міністерстві.

За фактом витоку даних Національна поліція відкрила кримінальну справу. Поліція встановила, що масив персональних даних з Telegram скомпільовано з інформаційних баз різних державних відомств і неурядових організацій за різні періоди попередніх років і не має відношення до роботи державного мобільного додатка «Дія».

Як захистити свої дані в мережі

“Нам треба змиритися з тим, що всі наші дані можуть потрапити в мережу. Можна поміняти паспорт або водійське посвідчення, щоб старі були недійсними, але з новими документами буде, швидше за все, те ж саме, що і зі старими “, – відзначає експерт Школи цифрової безпеки DSS380 Павло Білоусов.

Щоб захистити свої дані в онлайн-банкінгу і в соцмережах, Володимир Фльонц радить використовувати кілька номерів телефонів і кілька адрес електронної пошти. Не варто використовувати публічний телефон або адресу пошти – так зловмисникам буде набагато складніше зламати ваш аккаунт.

У всіх сервісах, де це можливо, слід включити двухфакторную авторизацію. Також необхідно мати різні паролі для різних додатків. Для цього можна використовувати менеджери паролів, наприклад 1Password.

Сервіс Have I been pwned дозволяє перевірити, чи немає в обліковому записі серед утікших в мережу і зламаних баз даних сервісів. Якщо це сталося, необхідно змінити пароль.

Єгор Папишев рекомендує не встановлювати сумнівні (зазвичай – розважальні) додатки на свої пристрої, а також надавати свої персональні та контактні дані, тільки якщо без цього не можна обійтися.

Андрій

Андрій

Публікатор

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *