Telegram-бот UA Baza Bot продает права и паспорты украинцев. Минцифры отрицает, что данные — из «Дія»

58524
1
Читать на UA

В конце апреля редактор AIN.UA писала о Telegram-ботах, которые продают личные данные украинцев (номера паспорта, ИНН, данные прописки). В один из этих ботов — UA Baza Bot — недавно добавили и данные о водительских правах.

UA Baza Bot

Telegram-канал UA Baza Bot разместил объявление о том, что начинает продажу данных прав украинцев. По иронии, владельцы канала, нарушающего закон, в этом сообщении предостерегают пользователей от действий мошенников.

UA Baza Bot-2

Пользователи в Facebook проверили данные и предполагают, что они могли попасть к мошенникам из приложения Дія, в котором можно хранить цифровые варианты своих документов (в частности, паспорт и права). Вот — пара примеров таких проверок.

Что говорят паблишеры «Дія»?

Министр цифровой трансформации Михаил Федоров назвал посты с сообщениями о «сливе» данных из «Дія» фейками.

«Во-первых, «Дія» не имеет базы данных и не накапливает такую информацию. Во-вторых, количество информации, которая доступна в указанном боте, намного, в десятки или сотни раз превышает ту, с которой работает «Дія». В-третьих, предварительный анализ информации бота свидетельствует об использовании старых баз данных, которые уже не один год доступны в Даркнете», — пишет чиновник.

По его словам, речь идет о базе данных «ПриватБанка» и других частных баз данных (то, что бот использует эту базу данных, в банке косвенно подтвердили редакции ранее).

Также в ведомстве отметили, что создатели бота анонсировали базу из 26 млн удостоверений, хотя в Украине всего 9,5 млн водительских прав, из которых в приложении отображаются 6,5 млн.

По данным Федорова, СБУ начала расследовать работу бота.

Что говорят пользователи?

Пока неясно, по чьей именно вине база попала в руки к владельцам бота. Приводим ниже два свидетельства пользователей: по первому создается ощущение, что ведомство неправо, когда говорит о старых базах, по второму — что «Дія» не имеет отношения к утечке.

Киевлянин Александр Шевченко рассказал редакции AIN.UA, что переоформлял водительские права из-за кражи. Поэтому в базе было две его фотографии: старая и новая. «У меня недавно была травма и на фото (в боте — ред.) видно, что травма уже есть, а значит, база — максимально новая. Касательно объяснений о том, что это — база «ПриватБанка», я его услугами вообще не пользуюсь», — рассказал он.

Александр также привел пример своего знакомого, который менял паспорт на ID-карту, и смена статуса документа в базе бота отражена за 22 апреля 2020 года.

UA Baza Bot-1

Жительница Киевской области Владислава Приступа рассказала, что с момента выхода приложения «Дія» активно им пользовалась, и что в приложении ее права есть. Однако в базе бота — ее старые данные, девичья фамилия, старая прописка, также указано, что прав у нее нет. По словам Владиславы, она получила права и вышла замуж 2 года назад, то есть, данным в базе — минимум 2 года.

Что говорят эксперты по кибербезопасности?

Шон Таунсенд, сооснователь «Украинского киберальянса», считает, что проблема — шире, чем конкретная утечка из реестров:

«Совсем не факт, что данные «потекли» именно из «Дія», но именно благодаря подходу, заложенному в «Дія» и «Трембите», утечки будут происходить чаще. Раньше реестры были разбиты между ведомствами. Они, конечно, «текли», и туда вносились несанкционированные изменения. Но у распорядителя реестра была своего рода «феодальная монополия» на данные, и распорядитель грубо говоря, был заинтересован в ее сохранении», — говорит он.

По его словам, объединение реестров такими сервисами, как «Дія», «Трембита» и подобными приводит к размыванию ответственности за их безопасность. Плюс, не работает как надо аккаунтинг (т.е. учет того, кто, когда и по какому поводу обращался к реестру).

CEO GigaCloud Артем Коханевич сомневается в том, что причина утечки данных именно «Дія»:

«Обвинения сервиса «Дія» в утечке персональных данных украинцев, информация о котором сегодня широко распространилась по интернету, скорее всего, беспочвенны. Люди, которые никогда не регистрировались в этом приложении, также нашли информацию о себе в Telegram-боте. Кроме того, приложение не хранит данные в своей собственной базе, а берет их из целого ряда реестров. Принцип его работы можно сравнить, например, с популярными маркетплейсами.

Но нынешний слив данных через Telegram-бот еще раз напомнил о важной особенности информационной безопасности любой системы: она зависит в равной степени от архитектуры программного обеспечения и от бизнес-процессов в структуре, которая занимается ее обслуживанием. Проще говоря, хранить данные можно хоть в Пентагоне, но если пароль администратора 12345 — система будет взломана».

Update: На 15:30 12 мая 2020 года аккаунт UA Baza Bot деактивирован.

Оставить комментарий

Комментарии | 1

  • https://t.me/BrokerUA_bot Курсы валют · Украина – телеграм-бот, который поможет Вам всегда быть в курсе валютного рынка Украины.
    ? Валюты: UAH ??, USD ??, EUR ??, RUB ??, PLN ??, CZK ??, GBP ??, CHF ??, CAD ??, BYN ??, TRY ??, CNY ??, ILS ??, JPY ??, HUF ??, BTC ?
    ? Банки: ПриватБанк, OTP Bank, monobank, megabank, Ощадбанк, УкрСиббанк, ПУМБ, Банк «Пивденный», Кредобанк, МежБанк.
    ? Локальные обменники: Менора (Днепр), КИТ Групп (Днепр, Киев, Винница, Запорожье, Мариуполь, Николаев, Харьков, Ивано-Франковск, Сумы, Львов, Кривой Рог, Одесса, Хмельницкий, Черновцы, Ужгород, Луцк), Money24 (Днепр, Киев, Винница, Николаев, Харьков, Львов, Одесса), Обмен24 (Днепр, Каменск), Obmenka (Харьков), Цент (Нововолынск, Луцк, Ковель, с. Старовойтово).
    ? История курсов
    ? Калькулятор с учетом покупки-продажи
    ? Уведомления об изменениях курсов
    ? Ежедневный отчёт

Поиск