Массовый слив. Как данные украинцев попали в СетьСюжет

Массовый слив. Как данные украинцев попали в СетьСюжет

Фото: УНИАН Государство в смартфоне превращается в рай для хаккеров

В Telegram появился бот UA Baza, который выдает персональные данные и документы украинцев, государство настаивает, что оно тут не причем.

В Украине очередной массовый слив персональных данных граждан. Правда, в этот раз, похоже, наиболее масштабный. Судите сами, в открытый доступ попали 26 миллионов только водительских удостоверений. А еще и паспорта, и пароли от аккаунтов в социальных сетях и почт.

Претензии сразу же появились к Министерству цифровой трансформации и их приложению Дия, которое подтягивает электронную версию документов из государственных реестров. Но в Минцифре уверяют, что они тут не при чем.

Корреспондент.net разбирался в масштабах слива.

Как это работает

Бот UA Baza содержит данные госреестров, а также базы новой почты и пароли из соцсетей Вконтакте и linkedin.

Например, Head Chef общественной организации Электронная демократия Владимир Фльонц, с помощью бота нашел сразу несколько своих документов.

«Мне показали не только паспортные данные, мои старые пароли, данные с биометрических паспортов (в частности, фото) и вишенка на торте – водительское удостоверение, о котором я даже не догадывался. Даже в Дии его не показывает, а у ребят в базе – есть. Вот так уже сейчас выглядит их цифровое будущее», – написал Фльонц.

Более того, например, журналисту Сергею Сидоренко бот показал водительские права, которые он потерял еще в 1999 году, и с тех пор не восстанавливал.

“По моей почте подтягиваются же старые права, с номером, реквизитами, о которых Дии неизвестно. То есть данные не просто взяты из какой-то правительственной базы, о которой Дия пока не в курсах — но и синхронизированы с другими личными данными. В 1995 году у меня этой почте не было, клянусь. Умеют же когда хотят, Минцифры отдыхают на этом фоне”, — удивляется Сидоренко.

Причем тут Дия

Приложение для смартфона Дия содержит электронные копии документов — паспортов, прав, техпаспорта на авто. В Украине они являются легальными заменителями бумажных документов. 

Нардеп Александр Дубинский обвинил Дию в сливе персональных данных. Но позже удалил эту информацию.

«Только что беседовал с министром цифровой трансформации Михаилом Фёдоровым, который в течение дня обещает предоставить информацию о том, кто и как сливает данные из госреестров. До момента получения этой информации посты о Дия удалены. Если информация Михаила окажется не релевантной, либо не докажет обратного — вернёмся к теме», — объяснил удаление Дубинский. 

В Министерстве цифровой трансформации любую причастность сервиса Дия к утечке данных отрицают. Там объясняют, что Дия не имеет собственной базы данных, а лишь отражает информацию из реестров.

Да и объемы информации, доступной в боте, в десятки, а то и сотни раз, превышает ту, с которой работает Дия. Там отмечают, что анализ бота свидетельствует об использовании старых баз данных ПриватБанка.

«Злоупотребление использованием персональных данных граждан недопустимо! Служба безопасности Украины уже проводит следственные действия в отношении злоумышленников, распространяющих такую ​​информацию в интернете», — заявили в министерстве.

В Минцифры предостерегают: пытаясь найти информацию о себе в различных нелегальных ботах, вы сами предоставляете злоумышленникам персональные данные.

К чему это приведет

Артем Коханевич, СЕО GigaCloud считает обвинения сервиса Дия в утечке персональных данных украинцев беспочвенными.

Приложение не хранит данные в своей собственной базе, а берет их из целого ряда реестров. Принцип его работы можно сравнить, например, с популярными маркетплейсами, которые выступают посредником и “связывают” между собой покупателей и продавцов. Смешной факт — люди, которые не могли добиться в Дие отображения своей фотографии на правах, увидели ее в телеграм-боте. Т.е. базы были получены откуда угодно, но не из Дии”, — констатирует Коханевич.

По его мнению, атака управляемая и направлена против продолжения развития проекта.

“Если Федорову с командой удастся реализовать хотя бы половину из заявленного, пострадает очень много серых и коррупционных схем. Украина сейчас пасет задних в цифровизации государственных процессов, и это не потому, что “все нормальные давно уехали” — цифровизация значительно уменьшает возможность для манипуляций, и заказчики управляемого бардака будут этому активно сопротивляться”, — полагает менеджер.

Вместе с тем Коханевич отмечает, что сервис Дия разрабатывается “какими-то людьми за чьи-то деньги”. 

“Дия физически размещена в одном дата-центре у одного из коммерческих операторов, выбор которого был совершенно непрозрачным, что можно сказать и про команду разработки. Во главу угла поставлена скорость запуска новых сервисов. Вопросы отказоустойчивости и резервирования, защиты от внешних вторжений, DDoS, защиты персональных данных — это то, что за гонкой функционала всегда остается на втором плане. Атаку через анонимный телеграм-бот, Дия переживет без проблем. Но не за горами инциденты, вызванные неправильной архитектурой — и вот там что-то ответить обществу будет уже сложнее”, — прогнозирует специалист.

Источник

Оставьте ответ

Ваш электронный адрес не будет опубликован.