На кількох форумах з’явилися оголошення про начебто злиті державні бази даних українських громадян, отримані через портал «Дія». На одному з форумів ціна бази — $15 000.

Кіберексперти поки не поспішають з висновками, Міністерство цифрової трансформації запевняє, що база – фейк. Редактор AIN.UA розповідає, що відомо на цей момент.

Що продають

Про одне з таких оголошень розповів на Facebook співзасновник «Українського кіберальянсу», відомий під ніком Шон Таунсенд. Це — оголошення на одному з хакерських форумів RaidForums (лінк не надаємо з міркувань безпеки).

Оголошення називається Ukrainian Leaks – 2022: diia.gov.ua – Users 2M і пропонує покупцям начебто справжні бази даних українських держорганів, за ціну в $15 000.

Скріншот RaidForums

Бази доволі великі, обсягом майже 30 ГБ, і за словами продавця, містять імена, прізвища, дані паспортів, ІПН, ID-карток, закордонних паспортів, скани документів. А найближчим часом продавець також обіцяє викласти дані баз Мінрегіону, електронного кабінету водія, судового реєстру та інших джерел.

Подібні ж оголошення з’явились і на кількох інших форумах.

Чи це справжні бази

Як оцінювати, чи є бази справжніми, чи це старі дані, або дані, зібрані з відкритих джерел — думки кіберекспертів на цю тему різняться. Хтось пов’язує злив із нещодавньою атакою на державні сайти, і пише про те, що в одному із запропонованих архівів можна знайти сліди OctoberCMS — софта, уразливість у якому ймовірно була використана для атаки. Хтось пише про те, що це — скоріше всього, фейк.

Більшість із опитаних AIN.UA експертів з кібербезпеки або говорять про те, що ще рано робити висновки, або впевнені у тому, що це — фейкові або старі бази.

Шон Таунсенд, який першим написав про ситуацію, розповідає, що поки не встиг проаналізувати дані:

«Не впевнений, звідки саме це злив, ще не встиг розібратись у завантаженому. З одного боку, багато що вказує на “Дію”, і те, що можна перевірити — справжнє, з іншого — виглядає усе доволі дивно», — говорить він.

Подібної ж думки дотримується і Микита Книш, CEO HackControl, який раніше працював у контррозвідці з інформаційної безпеки СБУ:

«Моя думка: взяли дані з реєстрів та видають за бази даних “Дії”, щоб залякати українців. Але може бути й по-іншому, тож варто перевірити».

На думку Влада Стирана, CEO Berezha Security Group, цей злив також поки що викликає сумніви:

«Поки що виглядає як фейк та скам, щось забагато юзерів з іменем ФОП у вибірці. Але треба розбиратися».

Пізніше Стиран опублікував пост у Facebook, де детальніше проаналізував технічні особливості баз даних, що пропонуються на продаж. За його оцінкою, це можуть бути дані, отримані в рамках зламу KitSoft та її клієнтів. А SQL-вибірка користувачів з “Дії” поки виглядає як шахрайство в даркнеті. «”Вихідний код Дії” виглядає як OctoberCMS, тобто можливо це веб-сайт “Дії”, який розробляв підрядник. Також, з параметрів конфігурації, таких як IP-адресація та налаштування сервісів, схоже, що це — розробницька або тестова версія сайту», — пише він.

Співбесідники AIN.UA з сфери кібезбезпеки також вказують, що форум, на якому продають дані, часто видає старі бази за нові “зливи” інформації. Вказують і на те, що деякі хакери на тлі недавніх атак на українські держоргани намагаються заробити, видаючи давно злиті у мережу бази даних за свіжу інформацію.

Позиція Мінцифри

У Міністерстві цифрової трансформації, яке створило та керує сервісом «Дія» та її послугами, називають ці оголошення провокацією та продовженням гібридної війни:

«Україна продовжує захищатися у гібридній війні. Основна мета ворога — підірвати довіру до влади фейками про вразливість критичної інформаційної інфраструктури та «‎злив»‎ даних українців. Про це тиждень тому вже повідомляв Центр стратегічних комунікацій та інформаційної безпеки.

Починаючи з минулих вихідних в інтернеті постійно з‘являються оголошення щодо продажу даних нібито отриманих під час кібератаки, що відбулася з 13 на 14 січня. У тому числі багато оголошень стосується продажу бази даних “Дії”. Такі оголошення мають на меті не тільки залякати суспільство, а ще й дестабілізувати ситуацію в Україні, зупинивши роботу державного сектору. 

Нагадаємо, що користувачами мобільного застосунку “Дія” є 13,5 млн українців. Він не зберігає персональних даних, а лише відображає те, що зберігається про них у відповідних державних реєстрах. Відвідувачами порталу “Дія” є понад 13 млн українців, а не 2 млн, як зазначається в оголошеннях. 

Закликаємо українців не піддаватися паніці. Усі персональні дані перебувають під надійним захистом у держреєстрах. А оголошення про можливість купити дані, отримані після злому 14 січня, є аферою: шахраї продають старі дані, що скомплектовані з багатьох джерел, які були злиті до 2019 року».

За інформацією Мінцифри, схожі оголошення почали з’являтись ще 15 січня і на інших форумах.

“При спробі купити виставлені “дані” – продавці просто зникають. Можуть і разом із грошима довірлих покупців”, — також додають в Центрі стратегічних комунікацій та інформаційної безпеки.