Наприкінці квітня редактор AIN.UA писала про Telegram-боти, які продають особисті дані українців (номери паспорта, ІПН, дані прописки). В один із цих ботів – UA Baza Bot – нещодавно додали і дані про водійські права.

UA Baza Bot

Telegram-канал UA Baza Bot розмістив оголошення про те, що починає продаж даних прав українців. За іронією, власники каналу, що порушує закон, у цьому повідомленні застерігають користувачів від дій шахраїв.

UA Baza Bot-2

Користувачі у Facebook перевірили дані і припускають, що вони могли потрапити до шахраїв із застосунку Дія, в якому можна зберігати цифрові варіанти своїх документів (зокрема, паспорт і права). Ось – пара прикладів таких перевірок.

Що кажуть паблішери «Дія”?

Міністр цифрової трансформації Михайло Федоров назвав пости з повідомленнями про «злив» даних із «Дія» фейками.

«По-перше, «Дія» не має бази даних і не накопичує таку інформацію. По-друге, кількість інформації, яка доступна в зазначеному боті, набагато, в десятки або сотні разів перевищує ту, з якою працює «Дія». По-третє, попередній аналіз інформації бота свідчить про використання старих баз даних, які вже не один рік доступні в Даркнеті», – пише чиновник.

За його словами, йдеться про базу даних «ПриватБанку» та інші приватні бази даних (те, що бот використовує цю базу даних, у банку побічно підтвердили редакції раніше).

Також у відомстві зазначили, що творці бота анонсували базу з 26 млн посвідчень, хоча в Україні лише 9,5 млн водійських прав, з яких у застосунку відображаються 6,5 млн.

За даними Федорова, СБУ почала розслідувати роботу бота.

Що кажуть користувачі?

Поки незрозуміло, з чиєї саме вини база потрапила в руки до власників бота. Наводимо нижче два свідчення користувачів: за першим створюється відчуття, що відомство не має рації, коли говорить про старі бази, за другим – що «Дія» не має стосунку до витоку.

Киянин Олександр Шевченко розповів редакції AIN.UA, що переоформляв водійські права через крадіжку. Тому в базі було дві його фотографії: стара і нова. «У мене нещодавно була травма і на фото (у боті – ред.) видно, що травма вже є, а отже, база – максимально нова. Щодо пояснень про те, що це – база «ПриватБанку», я його послугами взагалі не користуюся», – розповів він.

Олександр також навів приклад свого знайомого, який міняв паспорт на ID-картку, і зміна статусу документа в базі бота відображена за 22 квітня 2020 року.

UA Baza Bot-1

Мешканка Київської області Владислава Приступа розповіла, що з моменту виходу застосунку «Дія» активно ним користувалася, і що в застосунку її права є. Однак у базі бота – її старі дані, дівоче прізвище, стара прописка, також зазначено, що прав у неї немає. За словами Владислави, вона отримала права і вийшла заміж 2 роки тому, тобто, даним у базі – щонайменше 2 роки.

Що кажуть експерти з кібербезпеки?

Шон Таунсенд, співзасновник «Українського кіберальянсу«, вважає, що проблема – ширша, ніж конкретний витік із реєстрів:

«Зовсім не факт, що дані «потекли» саме з «Дія», але саме завдяки підходу, закладеному в «Дії» і «Трембіті», витоки відбуватимуться частіше. Раніше реєстри були розбиті між відомствами. Вони, звісно, «текли», і туди вносилися несанкціоновані зміни. Але у розпорядника реєстру була свого роду «феодальна монополія» на дані, і розпорядник, грубо кажучи, був зацікавлений у її збереженні», – говорить він.

За його словами, об’єднання реєстрів такими сервісами, як «Дія», «Трембіта» і подібними призводить до розмивання відповідальності за їхню безпеку. Плюс, не працює як треба аккаунтинг (тобто облік того, хто, коли і з якого приводу звертався до реєстру).

CEO GigaCloud Артем Коханевич сумнівається в тому, що причина витоку даних саме «Дія”:

«Звинувачення сервісу «Дія» у витоку персональних даних українців, інформація про який сьогодні широко поширилася інтернетом, найімовірніше, безпідставні. Люди, які ніколи не реєструвалися в цьому застосунку, також знайшли інформацію про себе в Telegram-боті. Крім того, додаток не зберігає дані у своїй власній базі, а бере їх із цілої низки реєстрів. Принцип його роботи можна порівняти, наприклад, з популярними маркетплейсами.

Але нинішній злив даних через Telegram-бот ще раз нагадав про важливу особливість інформаційної безпеки будь-якої системи: вона залежить однаковою мірою від архітектури програмного забезпечення і від бізнес-процесів у структурі, яка займається її обслуговуванням. Простіше кажучи, зберігати дані можна хоч у Пентагоні, але якщо пароль адміністратора 12345 – систему буде зламано».

Update: На 15:30 12 травня 2020 року акаунт UA Baza Bot деактивовано.