На кількох форумах з’явилися оголошення про начебто злиті державні бази даних українських громадян, отримані через портал «Дія». На одному з форумів ціна бази — $15 000.
Кіберексперти поки не поспішають з висновками, Міністерство цифрової трансформації запевняє, що база – фейк. Редактор AIN.UA розповідає, що відомо на цей момент.
Що продають
Про одне з таких оголошень розповів на Facebook співзасновник «Українського кіберальянсу», відомий під ніком Шон Таунсенд. Це — оголошення на одному з хакерських форумів RaidForums (лінк не надаємо з міркувань безпеки).
Оголошення називається Ukrainian Leaks – 2022: diia.gov.ua – Users 2M і пропонує покупцям начебто справжні бази даних українських держорганів, за ціну в $15 000.
Бази доволі великі, обсягом майже 30 ГБ, і за словами продавця, містять імена, прізвища, дані паспортів, ІПН, ID-карток, закордонних паспортів, скани документів. А найближчим часом продавець також обіцяє викласти дані баз Мінрегіону, електронного кабінету водія, судового реєстру та інших джерел.
Подібні ж оголошення з’явились і на кількох інших форумах.
Чи це справжні бази
Як оцінювати, чи є бази справжніми, чи це старі дані, або дані, зібрані з відкритих джерел — думки кіберекспертів на цю тему різняться. Хтось пов’язує злив із нещодавньою атакою на державні сайти, і пише про те, що в одному із запропонованих архівів можна знайти сліди OctoberCMS — софта, уразливість у якому ймовірно була використана для атаки. Хтось пише про те, що це — скоріше всього, фейк.
Більшість із опитаних AIN.UA експертів з кібербезпеки або говорять про те, що ще рано робити висновки, або впевнені у тому, що це — фейкові або старі бази.
Шон Таунсенд, який першим написав про ситуацію, розповідає, що поки не встиг проаналізувати дані:
«Не впевнений, звідки саме це злив, ще не встиг розібратись у завантаженому. З одного боку, багато що вказує на “Дію”, і те, що можна перевірити — справжнє, з іншого — виглядає усе доволі дивно», — говорить він.
Подібної ж думки дотримується і Микита Книш, CEO HackControl, який раніше працював у контррозвідці з інформаційної безпеки СБУ:
«Моя думка: взяли дані з реєстрів та видають за бази даних “Дії”, щоб залякати українців. Але може бути й по-іншому, тож варто перевірити».
На думку Влада Стирана, CEO Berezha Security Group, цей злив також поки що викликає сумніви:
«Поки що виглядає як фейк та скам, щось забагато юзерів з іменем ФОП у вибірці. Але треба розбиратися».
Пізніше Стиран опублікував пост у Facebook, де детальніше проаналізував технічні особливості баз даних, що пропонуються на продаж. За його оцінкою, це можуть бути дані, отримані в рамках зламу KitSoft та її клієнтів. А SQL-вибірка користувачів з “Дії” поки виглядає як шахрайство в даркнеті. «”Вихідний код Дії” виглядає як OctoberCMS, тобто можливо це веб-сайт “Дії”, який розробляв підрядник. Також, з параметрів конфігурації, таких як IP-адресація та налаштування сервісів, схоже, що це — розробницька або тестова версія сайту», — пише він.
Співбесідники AIN.UA з сфери кібезбезпеки також вказують, що форум, на якому продають дані, часто видає старі бази за нові “зливи” інформації. Вказують і на те, що деякі хакери на тлі недавніх атак на українські держоргани намагаються заробити, видаючи давно злиті у мережу бази даних за свіжу інформацію.
Позиція Мінцифри
У Міністерстві цифрової трансформації, яке створило та керує сервісом «Дія» та її послугами, називають ці оголошення провокацією та продовженням гібридної війни:
«Україна продовжує захищатися у гібридній війні. Основна мета ворога — підірвати довіру до влади фейками про вразливість критичної інформаційної інфраструктури та «злив» даних українців. Про це тиждень тому вже повідомляв Центр стратегічних комунікацій та інформаційної безпеки.
Починаючи з минулих вихідних в інтернеті постійно з‘являються оголошення щодо продажу даних нібито отриманих під час кібератаки, що відбулася з 13 на 14 січня. У тому числі багато оголошень стосується продажу бази даних “Дії”. Такі оголошення мають на меті не тільки залякати суспільство, а ще й дестабілізувати ситуацію в Україні, зупинивши роботу державного сектору.
Нагадаємо, що користувачами мобільного застосунку “Дія” є 13,5 млн українців. Він не зберігає персональних даних, а лише відображає те, що зберігається про них у відповідних державних реєстрах. Відвідувачами порталу “Дія” є понад 13 млн українців, а не 2 млн, як зазначається в оголошеннях.
Закликаємо українців не піддаватися паніці. Усі персональні дані перебувають під надійним захистом у держреєстрах. А оголошення про можливість купити дані, отримані після злому 14 січня, є аферою: шахраї продають старі дані, що скомплектовані з багатьох джерел, які були злиті до 2019 року».
За інформацією Мінцифри, схожі оголошення почали з’являтись ще 15 січня і на інших форумах.
“При спробі купити виставлені “дані” – продавці просто зникають. Можуть і разом із грошима довірлих покупців”, — також додають в Центрі стратегічних комунікацій та інформаційної безпеки.