Інформпростір сколихнув черговий скандал. Цього разу пов’язаний із продажем персональних даних мільйонів українців через один з Telegram-каналів. Про це заговорили 12 травня, коли засновник громадської організації “Електронна демократія” Володимир Фльонц спробував використати цей сервіс і за запитом отримав свої паспортні й біометричні дані, водійське посвідчення та старі паролі від різних акаунтів.

“Кілька місяців тому Міністерство цифрової трансформації обіцяло, що самотужки, без вашої участі, створить головний ідентифікатор (в обхід закону про Єдиний демографічний реєстр, до речі), завдяки якому об’єднають двадцять перснів всі реєстри країни й настане цифрове раб щастя. Не знаю, як у Мінцифри, а от у хлопців зі скріншоту все вийшло. Ні, справді, хлопці молодці. Об’єднали разом дані державних реєстрів, бази Нової пошти, паролі з ВКонтакте й Linkedin, рясно приправили банківською таємницею – і от результат”, – написав Фльонц.

Після цього деякі користувачі соцмереж кинулися перевіряти доступну про себе інформацію: хтось знайшов лише дані з відкритих реєстрів, хтось – застарілі дані, а хтось – своє водійське посвідчення кінця 2019 року. Від початку у можливому витоку інформації звинуватили додаток “Дія”, розрекламований урядовцями. Нібито саме через нього відбувся злив даних. Але згодом правоохоронці заявили, що до витоку інформації з реєстрів можуть бути причетні Міністерство внутрішніх справ та Державна міграційна служба.

“Слідчі Головного слідчого управління Державного бюро розслідувань розпочали досудове розслідування за фактом витоку інформації, що містила персональні дані громадян України та була поширена в одному із анонімних телеграм-каналів. За попередньою інформацією, до витоку персональних даних можуть бути причетні посадові особи Головного сервісного центру МВС України та Державної міграційної служби. Досудове розслідування розпочато за фактами перевищення влади або службових повноважень працівниками правоохоронних органів, що спричинило тяжкі наслідки та несанкціонований збут або розповсюдження інформації з обмеженим доступом, що заподіяло істотну шкоду, вчинену за попередньою змовою групою осіб (ч. 3 ст. 365 та ч. 2 ст. 361-2Кримінального кодексу України)”, – повідомила прес-служба ДБР ввечері 13 травня.

Витоки інформації

Власне, історія про витік персональних даних не нова. Останній гучний скандал, пов’язаний з продажем баз даних, стався у лютому 2018 року – тоді торгували інформацією клієнтів “Нової пошти”. Фактично у відкритому доступі опинилися дані щодо 18 млн людей з різною деталізацією: імена, телефони, серія та номери паспортів, місто проживання, електронні адреси.

Водночас варто визнати: торгівля персональними даними існує десятки років. Ще на початку 2000-х на ринку “Петрівка” у Києві за певну суму можна було купити різні бази даних на CD-дисках і дізнатися місце реєстрації людини, її домашній телефон, місце роботи, інформацію про рухоме чи нерухоме майно, яке їй могло належати тощо.

“Насправді торгівля базами даних існує з періоду, коли комп’ютер вдома був розкішшю, а не звичайним пристроєм. Найбільше кияни пам’ятають книжковий ринок “Петрівка” – там можливо було купити майже будь яку базу даних. Наприклад, у мене досі десь має бути диск, куплений на “Петрівці” з базою ДАІ за 2005 рік”, – розповідає “Буквам” активіст Українського кіберальянсу, спеціаліст з кібербезпеки Андрій Перевезій.

Крім того, час від часу у відкритому доступі опиняються телефони, адреси, електронні пошти різних публічних осіб: чиновників різного рівня, народних депутатів, журналістів. За запитом “купити базу даних” у пошуковиках можна знайти таблиці з номерами телефонів для спам-розсилок, пропозиції “пробити” людей за паспортними даними, кредитною історією тощо. Вартість коливається від кількох десятків до кількох сотень доларів.

Якщо ж говорити про гучні витоки інформації, то можна згадати, як кілька років тому сепаратисти так званих “ДНР” та “ЛНР” опублікували список журналістів, акредитованих при Міністерстві оборони для роботи в зоні Антитерористичної операції. У відкритому доступі опинилися кілька тисяч мобільних номерів та електронних адрес. Частина журналістів отримала погрози. Правоохоронні органи обіцяли розібратися із джерелом витоку. А 2019-го історія повторилася, але у меншому масштабі: тоді група журналістів після подачі заявок на акредитацію для роботи в зоні операції Об’єднаних сил (ООС) почала отримувати погрози від сепаратистів.

У контексті захисту даних також можна згадати про акцію українських хакерів #fucktheresponsibledisclosure, під час якої активісти виявляли вразливості систем захисту різних державних структур і відкрито про це повідомляли. Скажімо, за кілька років такої роботи у відкритому доступі знайшли різни бази щодо громадян (як-от списки військовослужбовців певної області) та діри у захисті, які давали доступ до тих чи інших документів. Найцікавіше, що для виявлення цих проблем було достатньо лише інтернет-браузера.

Детальніше про це читайте в інтерв’ю з Українським кіберальянсом

“Звісно, що у приватному секторі ситуація значно краща. Бізнес у разі витоку зазнає збитків – репутаційних і матеріальних. А от у державних структурах крайніх зазвичай немає. І ситуація лишатиметься незмінною, доки чиновники не почнуть персонально відповідати за збереження даних. І лише технічними засобами це завдання не вирішити”, – пояснює “Буквам” Андрій Баранович, активіст Кіберальянсу, більш відомий як Шон Таунсенд.

Його колега Андрій Перевезій додає: наразі важко говорити про безпеку персональних даних в принципі.

“Якщо ви віддаєте свої персональні дані державі – то їх неможливо убезпечити. Так само, коли ви віддаєте комусь свої дані, – завжди існує ризик того, що доступ до такої інформації отримають через треті руки. Водночас особливість зберігання персональних даних державою в тому, що вона не питає у вас – чи хочете ви, щоб ваші дані зберігалися. І якщо держава навчиться зберігати цю інформацію – то і ризик витоків стане мінімальним. Власне, якщо різні державні структури зберігають ваші дані, то зовсім не обов’язково, що вони потраплять у відкритий доступ. Хоча у випадку з UA Baza Bot у відкритому доступі присутні мінімум 3 державні бази даних”, – розповів Перевезій.

Якщо ж говорити загалом, то у Кіберальянсі зауважують: ситуація зі зберіганням персональних даних в Україні плачевна. Проте відомі випадки, коли комерційні структури почали проходити міжнародну сертифікацію своїх систем безпеки саме щодо зберігання такої інформації. Перш за все це стосується компаній, які працюють з персональними даними, які надходять з Євросоюзу і потрапляють під дію GDPR (General Data Protection Regulation – регламент в межах законодавства ЄС щодо захисту персональних даних усіх осіб у межах ЄС. Також стосується експорту персональних даних за межі ЄС – ред.).

Старий-новий витік

Можна припустити, що анонімний Telegram-канал, через який відбувається продаж персональних даних, існує тривалий час. Супутній канал, який нібито повідомляє актуальні новини щодо надходжень оновленої інформації, створено наприкінці березня цього року. Однак у першому ж повідомленні йдеться про те, що це “наш новий бот”. Тож логічно припустити, що цей бізнес існує впродовж кількох місяців, а то й років.

Судячи з повідомлень, у власників каналу є доступ до бази кредитних історій за 2012-2016 роки, понад 100 млн телефонних номерів, зокрема народних депутатів, дані щодо юридичних осіб (зокрема з бази одного з інформаційних агентств), бази недійсних і загублених паспортів, ідентифікаційних номерів фізичних осіб, акаунти й паролі до них у різних соціальних мережах тощо. Загалом заявлено про 900 гігабайт інформації. Також вони переконують, що не купують бази й користуються відкритими даними.

Від початку у можливому витоку і пересічні користувачі, і експерти з безпеки підозрювали додаток “Дія”, який мав об’єднати різні бази даних і дозволити користуватися чи не всіма можливими документами за допомогою смартфона. Щоправда, адміністрація “Дії” запевнила, що їхнє дітище до цього не причетне.

“Вчора телеграм-бот UA Baza злив базу даних з 26 мільйонами водійських посвідчень. Чутки, що до цього причетна “Дія”, безпідставні. Це неможливо навіть теоретично. Ось чому: “Дія” не має бази даних і не накопичує таку інформацію; обсяги інформації, доступної у боті, в десятки, а то й сотні разів перевищують ті, з якими працює “Дія”: аналіз боту свідчить про використання старих баз даних, які вже не один рік доступні в даркнеті. Йдеться про базу “ПриватБанку”, а також інші приватні бази даних. Наприклад, в боті доступні паролі “ВКонтакте”, LinkedІn”, – повідомили у своєму Telegram-каналі адміністратори додатку.

Вже 13 травня на захист “Дії” став прем’єр-міністр Денис Шмигаль. Він заявив журналістам, що витік даних стався ще пів року тому і не має нічого спільного з додатком для оцифровування документів. “Те, що ви бачите в інтернеті, це дійсно сталося. У зв’язку з цим відкрито кримінальне провадження. Це сталося більше, ніж пів року тому, коли були старі реєстри даних. Нові реєстри повністю захищені”, – заявив Шмигаль і додав, що “Дія” є абсолютно захищеною системою.

Тут варто зазначити, що усі можливі витоки інформації можна розділити на два умовних типи: ненавмисні й навмисні. У першому випадку радше йдеться про персонал, який через низьку кваліфікацію чи незнання лишає у відкритому доступі різну інформацію. Наприклад, адміністратори сайтів державних структур лишають доступними й незапароленими для користувачів інтернету таблиці з акаунтами й паролями до своїх соцмереж (скажімо, як свого часу дані про акаунт і пароль до Twitter МВС Київської області) чи бази даних пенсіонерів міста. У другому ж випадку йдеться про людей, які свідомо продають чи віддають інформацію третім особам або ж зламують ті чи інші ресурси, часто користуючись низькою кваліфікацією вже згаданих адміністраторів сайтів. Наприклад, тут можна згадати онлайн-сторінки магазинів, яким люди часто лишають свої персональні дані: мобільні телефони, електронні адреси, паспортні дані тощо. Тож пан Шмигаль у своїй заяві дещо лукавить, адже “абсолютно захищених” систем не може існувати за визначенням. А джерело витоку хоч і важко, але можливо виявити.

“У будь-якому випадку можливо проаналізувати – а звідки ж саме був витік. Для цього треба проаналізувати масиви даних, з’ясувати приблизну дату витоку. У даному випадку більшість баз даних прописали самі власники Telegram-каналу – це база даних Вибори 2014 року, Нова пошта 2017 року, База даних ВКонтактє 2018 року, відкриті дані від Open Data Bot. Але головне – це свіжа база даних документів, виданих у грудні 2019-го, січні-лютому 2020-го. Найімовірніше, це могла бути “Дія”, – переконаний Перевезій.

Він також зазначає, що заяви адміністрації додатку про те, що він не має власної бази даних, а отже, не причетний до витоку, не витримують критики. Оскільки сама “Дія” дає доступ до різних баз даних. “Якщо пояснювати на пальцях, то все виглядає наступним чином. “Дія” не має своєї бази даних, це правда. Але вона є ключем до різних баз даних. Припустимо, у вас є десяток дверей. І ви робите універсальний ключ, яким можна відкрити всі ці двері. Ось це і є додаток “Дія”. Якщо виключити її, то виходить, що відбувся злам бази даних Нацполіції? Враховуючи, що у Telegram-каналі були присутні дані нових ID-карток та нових водійських посвідчень. Але є велика ймовірність, що витік стався через існуючі вразливості додатку. Власне, те що вони показали дослідження окремих людей. І повірте, вразливість там не одна”, – зазначає Перевезій.

Водночас об’єднання експертів “Лабораторія цифрової безпеки” зауважує, що більшість інформації, яка потрапила у відкритий доступ, і справді не нова. “Судячи з інформації з відкритих джерел, ця база дійсно не нова, а компіляція кількох злитих баз даних різних років. І навіть якби сьогодні злили усю інформацію з “Дії”, нічого нового там, найімовірніше, не з’явилось би. Всі ці дані були злиті ще до неї. Паспортні дані, місце прописки, права, номер авто чи інформація про власність – це та інформація, яка змінюється дуже не часто і залишається актуальною протягом довгого періоду. Це ендемічна проблема баз даних, особливо державних: вони погано захищені, погано побудовані, незрозуміло як адмініструються, до них має доступ величезна кількість людей і цей доступ дуже погано контролюється”, – написали представники “Лабораторії цифрової безпеки” на своїй сторінці у Facebook.

Водночас представники Кіберальянсу у коментарі “Буквам” зауважили, що можливість витоку через “Дію” не можна виключати. Більше того – цей додаток викликає низку запитань не лише через технічні особливості, але й через організаційні. “Сам підхід на об’єднання реєстрів і автоматичний обмін даними між ними загрожує великими проблемами. Для того, аби захищати дані, їх потрібно розділяти й у кожного набору даних має бути “ім’я”. Це робиться для того, аби у разі витоку хтось за це відповідав. Ініціатива Міністерства цифрової трансформації у даному випадку знижує ризик такої відповідальності. Більше того, проблема у самому додатку. Де проектна документація? Хто відповідає за безпеку і функціонал? Що відбудеться, якщо станеться витік? Де сертифікати з безпеки як самого додатку, так і алгоритму його роботи?” – зазначають Баранович та Перевезій.

Поки ж Національна поліція, Служба безпеки й Держбюро розслідувань шукатимуть винних, пересічним українцям варто примиритися з тим, що їхні персональні дані держава не здатна захистити. Тож такі витоки час від часу траплятимуться. Убезпечити ж чутливу інформацію про себе українці здатні самотужки. Поради, які дають експерти з кіберзахисту, не нові. Двофакторна аутентифікація до всіх можливих соціальних мереж та електронної пошти. Для різних дошок оголошень варто мати окремий номер телефону та окрему віртуальну банківську карту. Для банківських операцій також радять завести окремий мобільний номер.

Щодо соціальних мереж – свій профіль варто налаштувати таким чином, аби незнайомі вам люди не могли бачити чутливу для вас інформацію: сімейні зв’язки, ваших друзів, фотографії тощо. Також не варто додавати у друзі людей, яких ви особисто не знаєте. А для реєстрації у програмах лояльності різних магазинів варто завести собі окрему поштову скриньку й мобільний номер. І, очікувано, не варто лишати інформацію про себе на сумнівних ресурсах.