Про це в коментарі #Буквам повідомив активіст “Українського кіберальянсу”, фахівець із кібербезпеки Андрій Перевезій.
Так, днями розгорівся скандал навколо продажу персональної інформації мільйонів українців через один із Telegram-каналів (Telegram-бот UA Baza).
Судячи з повідомлень, у власників каналу опинився доступ до бази кредитних історій за 2012-2016 роки, більше 100 млн телефонних номерів, дані щодо юридичних осіб, бази недійсних і загублених паспортів, ідентифікаційних номерів фізичних осіб, акаунти і паролі до сторінок в соціальних мережах і тому подібне.
Представники влади спростували підозри, що до цього може бути причетний додаток “Дія”, який має об’єднати різні бази даних та дозволити користуватися мало не всіма можливими документами за допомогою смартфона.
Але експерти з “Українського кіберальянсу” допускають, що витік даних все ж міг статися через “Дію”.
“У будь-якому випадку можливо проаналізувати – а звідки ж саме був витік. Для цього треба проаналізувати масиви даних, з’ясувати приблизну дату витоку. У даному випадку більшість баз даних прописали самі власники Telegram-каналу – це база даних Вибори 2014 року, Нова пошта 2017 року, База даних “ВКонтактє” 2018 року, відкриті дані від Open Data Bot. Але головне – це свіжа база даних документів, виданих у грудні 2019-го, січні-лютому 2020-го. Найімовірніше, це могла бути “Дія”, – наголосив Андрій Перевезій.
Експерт також зазначив, що заяви адміністрації додатку про те, що він не має власної бази даних, а тому не причетний до витоку, не витримують критики. Так, сама “Дія” дає доступ до різних баз даних (є своєрідним “ключем” до них).
Перевезій передбачає, що витік міг відбутися через існуючі вразливості в додатку.
“Якщо пояснювати на пальцях, то все виглядає наступним чином. “Дія” не має своєї бази даних, це правда. Але вона є ключем до різних баз даних. Припустимо, у вас є десяток дверей. І ви робите універсальний ключ, яким можна відкрити всі ці двері. Ось це і є додаток “Дія”. Якщо виключити її, то виходить, що відбувся злам бази даних Нацполіції? Враховуючи, що у Telegram-каналі були присутні дані нових ID-карток та нових водійських посвідчень. Але є велика ймовірність, що витік стався через існуючі вразливості додатку. Власне, те що вони показали дослідження окремих людей. І повірте, вразливість там не одна”, – пояснив Перевезій.
Читайте також:
Представники “Кіберальянсу” в коментарі #Буквам наголосили, що можливість витоку через “Дію” не можна виключати, оскільки цей додаток викликає низку запитань не лише через свої технічні особливості, але й організаційні.
За словами кіберекспертів, дані потрібно розділяти для їх кращого захисту, а “Дія” передбачає об’єднання реєстрів і обмін інформацією між ними.
“Сам підхід на об’єднання реєстрів і автоматичний обмін даними між ними загрожує великими проблемами. Для того, аби захищати дані, їх потрібно розділяти й у кожного набору даних має бути “ім’я”. Це робиться для того, аби у разі витоку хтось за це відповідав. Ініціатива Міністерства цифрової трансформації у даному випадку знижує ризик такої відповідальності. Більше того, проблема у самому додатку. Де проектна документація? Хто відповідає за безпеку і функціонал? Що відбудеться, якщо станеться витік? Де сертифікати з безпеки як самого додатку, так і алгоритму його роботи?” – розповіли представники “Кіберальянсу”.
- Слідчі Державного бюро розслідувань почали досудове розслідування за фактом витоку інформації, що містить персональні дані громадян України, яка була поширена в одному з анонімних каналів в Telegram. За даними ДБР, до витоку персональних даних можуть бути причетні посадові особи Головного сервісного центру МВС України та Державної міграційної служби.
- У вересні віце-прем’єр-міністр – міністр цифрової трансформації Михайло Федоров презентував бренд цифрової держави — “Дія”.
