Информпространство всколыхнул очередной скандал. На этот раз связанный с продажей персональных данных миллионов украинцев через один из Telegram-каналов. Об этом заговорили 12 мая, когда основатель общественной организации “Электронная демократия” Владимир Фльонц попытался использовать этот сервис и по запросу получил свои паспортные и биометрические данные, водительское удостоверение и старые пароли от различных аккаунтов.
“Пару месяцев назад #Минцифра обещала, что сама, без вашего участия, создаст главный идентификатор (в обход закона о Едином демографический реестре, кстати), благодаря которому объединят д̶в̶а̶д̶ц̶а̶т̶ь̶ ̶к̶о̶л̶е̶ц все реестры страны и наступит цифровое р̶а̶б̶ счастье. Не знаю, как у #Минцифры, а вот у ребят со скриншота все получилось. Нет, правда, ребята молодцы. Соединили вместе данные госреестров, базы “Новой почты”, пароли из “ВКонтакте” и LinkedIn, обильно приправили банковской тайной и результат, как говорится, на табло. Мне показало не только паспортные данные, мои старые пароли (старые, но на тот момент настоящие!), но и данные с биометрических паспортов (включая фото) и вишенка на торте — водительское удостоверение, о котором я даже не догадывался. Даже в “Дие” его не показывает, а у ребят в базе — есть”, – написал Фльонц.
После этого некоторые пользователи соцсетей бросились проверять доступную информацию о себе: кто-то нашел только данные из открытых реестров, другие – устаревшие данные, а кто-то – свое водительское удостоверение конца 2019 года. Сначала в возможной утечке информации обвинили приложение “Дия”, разрекламированное Правительством. Якобы именно из-за него произошел слив данных. Но впоследствии правоохранители заявили, что к утечке информации из реестров могут быть причастны Министерство внутренних дел и Государственная миграционная служба.
“Следователи Главного следственного управления Государственного бюро расследований начали досудебное расследование по факту утечки информации, которая содержала персональные данные граждан Украины и которая была распространена в одном из анонимных Telegram-каналов. По предварительной информации, к утечке персональных данных могут быть причастны должностные лица Главного сервисного центра МВД Украины и Государственной миграционной службы. Досудебное расследование начато по фактам превышения власти или служебных полномочий работниками правоохранительных органов, что повлекло тяжкие последствия и несанкционированный сбыт или распространение информации с ограниченным доступом, причинившее существенный вред, совершенный по предварительному сговору группой лиц (ч. 3 ст. 365 и ч. 2 ст. 361-2 Уголовного кодекса Украины)”, – сообщила пресс-служба ГБР вечером 13 мая.
Утечки информации
Собственно, история об утечке персональных данных не нова. Последний громкий скандал, связанный с продажей баз данных, произошел в феврале 2018 года – тогда торговали информацией клиентов “Новой почты”. Фактически в открытом доступе оказались данные 18 млн людей с разной детализацией: имена, телефоны, серия и номера паспортов, город проживания, электронные адреса.
Вместе с тем следует признать: торговля персональными данными существует десятки лет. Еще в начале 2000-х на рынке “Петровка” в Киеве за определенную сумму можно было купить различные базы данных на CD-дисках и узнать место регистрации человека, его домашний телефон, место работы, информацию о движимом или недвижимом имуществе, которое ему могло принадлежать, и тому подобное.
“На самом деле торговля базами данных существует с периода, когда компьютер дома был роскошью, а не обычным устройством. Больше всего киевляне помнят книжный рынок “Петровка” – там можно было купить почти любую базу данных. Например, у меня до сих пор где-то должен быть диск, купленный на Петровке с базой ГАИ за 2005 год”, – рассказывает “Буквам” активист Украинского киберальянса, специалист по кибербезопасности Андрей Перевезий.
Кроме того, время от времени в открытом доступе оказываются телефоны, адреса, электронные почты различных публичных лиц: чиновников разного уровня, народных депутатов, журналистов. По запросу “купить базу данных” в поисковиках можно найти таблицы с номерами телефонов для спам-рассылок, предложения “пробить” людей по паспортным данным, кредитную историю и тому подобное. Стоимость колеблется от нескольких десятков до нескольких сотен долларов.
Если же говорить о громких утечках информации, то можно вспомнить, как несколько лет назад сепаратисты так называемых “ДНР” и “ЛНР” опубликовали список журналистов, аккредитованных при Министерстве обороны для работы в зоне Антитеррористической операции. В открытом доступе оказались несколько тысяч мобильных номеров и электронных адресов. Часть журналистов получила угрозы. Правоохранительные органы обещали разобраться с источником утечки. А в 2019-м история повторилась, но в меньшем масштабе: тогда группа журналистов после подачи заявок на аккредитацию для работы в зоне операции Объединенных сил (ООС) начала получать угрозы от сепаратистов.
В контексте защиты данных можно вспомнить об акции украинских хакеров #fucktheresponsibledisclosure, во время которой активисты обнаруживали уязвимости систем защиты различных государственных структур и открыто об этом сообщали. Скажем, за несколько лет такой работы в открытом доступе нашли разные базы относительно граждан (например, списки военнослужащих определенной области) и дыры в защите, которые давали доступ к тем или иным документам. Самое интересное, что для выявления этих проблем было достаточно лишь Интернет-браузера.
Подробнее об этом читайте в интервью с Украинским киберальянсом
“Конечно, в частном секторе ситуация значительно лучше. Бизнес в случае утечки несет убытки – репутационные и материальные. А вот в государственных структурах крайних обычно нет. И ситуация не изменится, пока чиновники не начнут лично отвечать за сохранность данных. И только техническими средствами эту задачу не решить”, – объясняет “Буквам” Андрей Баранович, активист Киберальянса, более известный как Шон Таунсенд.
Его коллега Андрей Перевезий добавляет: сейчас трудно говорить о безопасности персональных данных в принципе. “Если вы отдаете свои персональные данные государству – их невозможно обезопасить. Так же, когда вы отдаете кому-то свои данные, – всегда существует риск того, что доступ к такой информации получат через третьи руки. В то же время особенность хранения персональных данных государством состоит в том, что оно не спрашивает у вас – хотите ли вы, чтобы ваши данные сохранялись. И если государство научится сохранять эту информацию – то и риск утечек станет минимальным. Собственно, если различные государственные структуры хранят ваши данные, то совсем не обязательно, что они попадут в открытый доступ. Хотя в случае с UA Baza Bot в открытом доступе имеется минимум 3 государственные базы данных”, – рассказал Перевезий.
Если же говорить в целом, то в Киберальянсе отмечают: ситуация с хранением персональных данных в Украине плачевная. Однако известны случаи, когда коммерческие структуры начали проходить международную сертификацию своих систем безопасности именно относительно хранения такой информации. Прежде всего это касается компаний, работающих с персональными данными, которые поступают из Евросоюза и попадают под действие GDPR (General Data Protection Regulation – регламент в рамках законодательства ЕС по защите персональных данных всех лиц в пределах ЕС. Также это касается экспорта персональных данных за пределы ЕС – ред.).
Старые-новые утечки
Можно предположить, что анонимный Telegram-канал, через который происходит продажа персональных данных, существует длительное время. Сопутствующий канал, который якобы сообщает актуальные новости относительно поступлений обновленной информации, создан в конце марта этого года. Однако в первом же сообщении говорится, что это “наш новый бот”. Поэтому логично предположить, что этот бизнес существует в течение нескольких месяцев, а то и лет.
Судя по сообщениям, у владельцев канала есть доступ к базе кредитных историй за 2012-2016 годы, более 100 млн телефонных номеров, в том числе народных депутатов, данные относительно юридических лиц (в том числе с базы одного из информационных агентств), базы недействительных и утерянных паспортов, идентификационных номеров физических лиц, аккаунты и пароли к ним в различных социальных сетях и тому подобное. В общем заявлено о 900 Гб информации. Также они утверждают, что не покупают базы и пользуются открытыми данными.
Сначала в возможной утечке и пользователи, и эксперты по безопасности подозревали приложение “Дия”, которое должно было объединить различные базы данных и разрешить пользоваться едва ли не всеми возможными документами с помощью смартфона. Правда, администрация “Дии” заверила, что их детище к этому не имеет никакого отношения.
“Вчера Telegram-бот UA Baza слил базу данных с 26 миллионами водительских удостоверений. Слухи, что к этому причастна “Дия”, безосновательны. Это невозможно даже теоретически. Вот почему: “Дия” не имеет базы данных и не накапливает такую информацию; объемы информации, доступные в боте, в десятки, а то и сотни раз превышают те, с которыми работает “Дия”: анализ бота свидетельствует об использовании старых баз данных, которые уже не один год доступны в даркнете. Речь идет о базе “ПриватБанка”, а также других частных базах данных. Например, в боте доступны пароли “ВКонтакте”, LinkedIn”, – сообщили в своем Telegram-канале администраторы приложения.
Уже 13 мая на защиту “Дии” стал Премьер-министр Денис Шмыгаль. Он заявил журналистам, что утечка данных произошла еще полгода назад и не имеет ничего общего с приложением для оцифровки документов. “То, что вы видите в Интернете, это действительно произошло. В связи с этим открыто уголовное производство. Это произошло больше полугода назад, когда были старые реестры данных. Новые реестры полностью защищены”, – заявил Шмыгаль и добавил, что “Дия” абсолютно защищенная система.
Здесь стоит отметить, что все возможные утечки информации можно разделить на два условных типа: непреднамеренные и преднамеренные. В первом случае скорее речь идет о персонале, который из-за низкой квалификации или незнания оставляет в открытом доступе различную информацию.
Например, администраторы сайтов государственных структур оставляют доступными и незапароленными для пользователей Интернета таблицы с аккаунтами и паролями к своим соцсетям (скажем, как в свое время данные об аккаунте и пароле Twitter МВД Киевской области) или базы данных пенсионеров города.
Во втором же случае речь идет о людях, которые сознательно продают или отдают информацию третьим лицам или взламывают те или иные ресурсы, часто пользуясь низкой квалификацией уже упомянутых администраторов сайтов.
Например, здесь можно вспомнить онлайн-страницы магазинов, которым люди часто оставляют свои персональные данные: мобильные телефоны, электронные адреса, паспортные данные и тому подобное. Поэтому господин Шмыгаль в своем заявлении несколько лукавит, ведь “абсолютно защищенных” систем не может быть по определению. А источник утечки хоть и трудно, но возможно обнаружить.
“В любом случае возможно проанализировать – а откуда же была утечка. Для этого надо проанализировать массивы данных, выяснить приблизительную дату утечки. В данном случае большинство баз данных прописали сами владельцы Telegram-канала – это база данных Выборы 2014 года, Новая почта 2017 года, База данных “ВКонтакте” 2018 года, открытые данные от Open Data Bot. Но главное – это свежая база данных документов, выданных в декабре 2019-го, январе-феврале 2020-го. Вероятнее всего, это могла быть “Дия”, – убежден Перевезий.
Он также отмечает, что заявления администрации приложения о том, что оно не имеет собственной базы данных, а потому не причастно к утечке, не выдерживают критики. Поскольку сама “Дия” дает доступ к различным базам данных. “Если объяснять на пальцах, то все выглядит следующим образом. “Дия” не имеет своей базы данных, это правда. Но она является ключом к различным базам данных. Предположим, у вас есть десяток дверей. И вы делаете универсальный ключ, которым можно открыть все эти двери. Вот это и есть приложение “Дия”. Если исключить ее, то получается, что произошел взлом базы данных Нацполиции? Учитывая, что в Telegram-канале присутствовали данные новых ID-карт и новых водительских удостоверений. Но есть большая вероятность, что утечка произошла из-за существующих уязвимостей приложения. Собственно, то, что они показали исследования отдельных людей. И поверьте, уязвимость там не одна”, – отмечает Перевезий.
В то же время объединение экспертов “Лаборатория цифровой безопасности” отмечает, что большинство информации, которая попала в открытый доступ, действительно не нова. “Судя по информации из открытых источников, эта база действительно не нова, а компиляция нескольких слитых баз данных разных лет. И даже если бы сегодня слили всю информацию с “Дии”, ничего нового там, скорее всего, не появилось бы. Все эти данные были слиты еще до нее. Паспортные данные, место прописки, права, номер авто или информация о собственности – это та информация, которая меняется очень часто и остается актуальной на протяжении долгого периода. Это эндемичная проблема баз данных, особенно государственных: они плохо защищены, плохо построены, непонятно как администрируемы, к ним имеет доступ огромное количество людей, и этот доступ очень плохо контролируется”, – написали представители “Лаборатории цифровой безопасности” на своей странице в Facebook.
В то же время представители Киберальянса в комментарии “Буквам” отметили, что возможность утечки через “Дию” нельзя исключать. Более того – это приложение вызывает ряд вопросов не только в силу технических особенностей, но и организационных. “Сам подход на объединение реестров и автоматический обмен данными между ними грозит большими проблемами. Для того, чтобы защищать данные, их нужно разделять и у каждого набора данных должно быть “имя”. Это делается для того, чтобы в случае утечки кто-то за это отвечал. Инициатива Министерства цифровой трансформации в данном случае снижает риск такой ответственности. Более того, проблема в самом приложении. Где проектная документация? Кто отвечает за безопасность и функционал? Что будет, если произойдет утечка? Где сертификаты по безопасности как самого приложения, так и алгоритма его работы?” – отмечают Баранович и Перевезий.
Пока же Национальная полиция, Служба безопасности и Госбюро расследований будут искать виновных, обычным украинцам стоит смириться с тем, что их персональные данные государство не способно защитить.
Поэтому такие утечки время от времени будут случаться. Обезопасить же чувствительную информацию о себе украинцы способны самостоятельно. Советы, которые дают эксперты по киберзащите, не новы.
Двухфакторная аутентификация ко всем возможным социальных сетям и электронной почте. Для различных досок объявлений следует иметь отдельный номер телефона и отдельную виртуальную банковскую карту. Для банковских операций также советуют завести отдельный мобильный номер.
Что касается социальных сетей – свой профиль стоит настроить таким образом, чтобы незнакомые вам люди не могли видеть чувствительную для вас информацию: семейные связи, ваших друзей, фотографии и тому подобное. Также не стоит добавлять в друзья людей, которых вы лично не знаете. А для регистрации в программах лояльности различных магазинов стоит завести себе отдельный почтовый ящик и мобильный номер. И, конечно, не стоит оставлять информацию о себе на сомнительных ресурсах.
