В конце апреля редактор AIN.UA писала о Telegram-ботах, которые продают личные данные украинцев (номера паспорта, ИНН, данные прописки). В один из этих ботов — UA Baza Bot — недавно добавили и данные о водительских правах.
UA Baza Bot
Telegram-канал UA Baza Bot разместил объявление о том, что начинает продажу данных прав украинцев. По иронии, владельцы канала, нарушающего закон, в этом сообщении предостерегают пользователей от действий мошенников.
Пользователи в Facebook проверили данные и предполагают, что они могли попасть к мошенникам из приложения Дія, в котором можно хранить цифровые варианты своих документов (в частности, паспорт и права). Вот — пара примеров таких проверок.
Что говорят паблишеры «Дія»?
Министр цифровой трансформации Михаил Федоров назвал посты с сообщениями о «сливе» данных из «Дія» фейками.
«Во-первых, «Дія» не имеет базы данных и не накапливает такую информацию. Во-вторых, количество информации, которая доступна в указанном боте, намного, в десятки или сотни раз превышает ту, с которой работает «Дія». В-третьих, предварительный анализ информации бота свидетельствует об использовании старых баз данных, которые уже не один год доступны в Даркнете», — пишет чиновник.
По его словам, речь идет о базе данных «ПриватБанка» и других частных баз данных (то, что бот использует эту базу данных, в банке косвенно подтвердили редакции ранее).
Также в ведомстве отметили, что создатели бота анонсировали базу из 26 млн удостоверений, хотя в Украине всего 9,5 млн водительских прав, из которых в приложении отображаются 6,5 млн.
По данным Федорова, СБУ начала расследовать работу бота.
Что говорят пользователи?
Пока неясно, по чьей именно вине база попала в руки к владельцам бота. Приводим ниже два свидетельства пользователей: по первому создается ощущение, что ведомство неправо, когда говорит о старых базах, по второму — что «Дія» не имеет отношения к утечке.
Киевлянин Александр Шевченко рассказал редакции AIN.UA, что переоформлял водительские права из-за кражи. Поэтому в базе было две его фотографии: старая и новая. «У меня недавно была травма и на фото (в боте — ред.) видно, что травма уже есть, а значит, база — максимально новая. Касательно объяснений о том, что это — база “ПриватБанка”, я его услугами вообще не пользуюсь”, — рассказал он.
Александр также привел пример своего знакомого, который менял паспорт на ID-карту, и смена статуса документа в базе бота отражена за 22 апреля 2020 года.
Жительница Киевской области Владислава Приступа рассказала, что с момента выхода приложения «Дія» активно им пользовалась, и что в приложении ее права есть. Однако в базе бота — ее старые данные, девичья фамилия, старая прописка, также указано, что прав у нее нет. По словам Владиславы, она получила права и вышла замуж 2 года назад, то есть, данным в базе — минимум 2 года.
Что говорят эксперты по кибербезопасности?
Шон Таунсенд, сооснователь «Украинского киберальянса», считает, что проблема — шире, чем конкретная утечка из реестров:
«Совсем не факт, что данные “потекли” именно из “Дія”, но именно благодаря подходу, заложенному в “Дія” и “Трембите”, утечки будут происходить чаще. Раньше реестры были разбиты между ведомствами. Они, конечно, “текли”, и туда вносились несанкционированные изменения. Но у распорядителя реестра была своего рода “феодальная монополия” на данные, и распорядитель грубо говоря, был заинтересован в ее сохранении», — говорит он.
По его словам, объединение реестров такими сервисами, как «Дія», «Трембита» и подобными приводит к размыванию ответственности за их безопасность. Плюс, не работает как надо аккаунтинг (т.е. учет того, кто, когда и по какому поводу обращался к реестру).
CEO GigaCloud Артем Коханевич сомневается в том, что причина утечки данных именно «Дія»:
«Обвинения сервиса “Дія” в утечке персональных данных украинцев, информация о котором сегодня широко распространилась по интернету, скорее всего, беспочвенны. Люди, которые никогда не регистрировались в этом приложении, также нашли информацию о себе в Telegram-боте. Кроме того, приложение не хранит данные в своей собственной базе, а берет их из целого ряда реестров. Принцип его работы можно сравнить, например, с популярными маркетплейсами.
Но нынешний слив данных через Telegram-бот еще раз напомнил о важной особенности информационной безопасности любой системы: она зависит в равной степени от архитектуры программного обеспечения и от бизнес-процессов в структуре, которая занимается ее обслуживанием. Проще говоря, хранить данные можно хоть в Пентагоне, но если пароль администратора 12345 — система будет взломана».