Большая утечка персональных данных украинцев: пострадали даже те кто пользовался лишь приложением “Дія”
В результате крупной хакерской атаки в ночь на 14 января были украдены и обнародованы настоящие данные из государственного сервиса “Дія” и “Кабинета водителя”. Об этом на своей странице в Facebook заявил эксперт по кибербезопасности, сооснователь “Украинский Кибер Альянс” Андрей Баранович.
Минцифры манипулирует украинцами, разделяя “Дію” на разные продукты, считает Иван Сорочан, родственник подростка, чьи данные оказались “слиты”.
Программист Иван Сорочан, который нашел в “сливе” данных из “Дії” информацию о своем 14-летнем родственнике, в комментарии Фокусу рассказал, почему считает сервис уязвимым.
По словам Ивана Сорочана (не является экспертом по кибербезопасности), его родственник получил паспорт около полугода назад, никогда не регистрировался физлицом-предпринимателем и пользовался только приложением “Дія”, не порталом. С одном из фрагментов базы данных обнаружен идентификационный код, телефон и адрес электронной почты. Указана также дата — сентябрь 2021 года, которую сперва приняли за дату использования приложения “Дія” при получении отправления на “Новой почте”, однако эта информация не подтвердилась.
“Слив” данных “Дії” подростка: что произошло
В своем Facebook инженер-программист Иван Сорочан написал, что представитель Минцифры попыталась опровергнуть его слова о вероятном “сливе” данных из приложения “Дія”, указывая на путаницу со временем. Дело в том, что сначала Иван написал, что дата, найденная в фрагменте базы с информацией о его несовершеннолетнем родственнике, соответствует получению посылки на “Новой почте” с использованием государственного приложения.
Как Иван Сорочан рассказал Фокусу, после публикации новостей о “сливе” данных “Дії”, он решил при помощи коллег-программистов поискать в базе себя и своих родных. В итоге удалось найти информацию о 14-летнем родственнике: его имя, фамилию, номер ID-карты, идентификационный код, номер мобильного телефона, адрес электронной почты, а также некую дату с временной пометкой (в своем посте Сорочан отмечает — “сентябрь 2021”). Сам подросток сообщил, что в этот день показывал свои документы в “Діє” на “Новой почте”. Позже выяснилось, что дата, указанная в слитой базе, и дата посещения Новой почты не совпадают — отличие ровно в один день.
“На эмоциях мы сразу совершили ошибку, когда писали пост. Понимаете, утекли данные, и люди переживали, что они виноваты. Там разница в один день. Однако родственник-подросток, часто переустанавливает софт, играется с ним, перезагружает и так далее. Скорее всего, он за день до той даты из слитой базы заново установил “Дія”, — поделился Иван Сорочан. — “Основной кейс в том, что он никогда не пользовался порталом. Подросток всегда пользовался “Дієй” с телефона. Поэтому я считаю, что “Дія” — это несколько разных родственных продуктов, и чиновники всегда переводят стрелки с портала на приложение, и наоборот”.
Иван Сорочан напомнил, что в инфраструктуру “Дії” входит сайт (он же портал), приложение, а также “Дія.ID”, которая используется для аутентификации во многих сервисах. Последняя является интегратором разных способов аутентификации, включая MobileID, BankID и КЭП (КЭП, квалифицированная электронная подпись, — ред.)”.
“Всегда, когда возникают какие-то проблемы, когда что-то “слилось” или поломалось, они (чиновники Минцифры — ред.) начинают манипулировать: это та “Дія”, это не та “Дія”. Но нюанс именно в том, что мой родственник пользовался только приложением. Выходит, что “слили” портал, но данные из приложения в утекшей базе тоже есть. Я полагаю, что существует некая связь, синхронизация, интеграция между порталом Дія и приложением Дія. Обычным людям ведь без разницы, чем пользоваться — и получается, что их данные могут быть в слитой базе”, – прокомментировал программист.
Он добавил, что в министерстве также связывают утечку данных с открытым реестром физических-лиц предпринимателей (ФЛП), одним из которых является сам Иван Сорочан. Однако 14-летний ребенок никогда не регистрировался в качестве ФЛП, ведь согласно статье 35 Гражданского кодекса Украины, это можно сделать только с 16-ти лет. Следовательно, данных юноши в реестре ФЛП быть не может, однако они все равно оказались в базе, выставленной на продажу.
Виновата ли “Новая почта”?
Журналисты поинтересовались у эксперта по кибербезопасности Константина Корсуна, возможна ли утечка данных из приложения “Дія” при подтверждении личности на “Новой почте”. Он заявил, что сомневается в этом.
“Маловероятно, но не очень понятно, как работает механизм считывания данных из-за тотальной таинственности. Нет никакой информации, дающей возможность провести технический анализ и анализ рисков. Поэтому, в зависимости от кривости реализации сервиса, нельзя исключать возможности, что данные парня утекли подтверждении личности на “Новой почте”, хотя в принципе проверяющая сторона не должна получать доступа к “Діє” в ходе проверки”, — прокомментировал эксперт. — “Если министерство считает, что данные “слились” через “Новую почту”, то пусть отключают возможность такой проверки. Они же МФО запретили пользоваться “Дієй” в ручном режиме”.
Константин Корсун на своей странице в Facebook утверждает, что пообщался с отцом парня, и поделился дополнительными подробностями. По его информации, 14-летний подросток в августе 2021 года получил в одном из областных центров оказания административных услуг свой первый паспорт и спустя некоторое время установил приложение “Дію”. Отец утверждает, что мальчик не регистрировался на портале, пока его данные не были обнаружены в базе, “слитой” на сайте RaidForums: имя, номер телефона, электронная почта и идентификационный код.
По мнению Константина Корсуна, информацию могли похитить из двух источников: ЦОАУ или приложение “Дія”. Последний считается более вероятным. Он предположил, что при взломе портала хакеры могли получить доступ к ресурсам, которые использует и мобильное приложение.
“Вся история – абсолютно реальная, люди – подлинные, данные по утечке – свежие и достоверные. И это полностью опровергает правительственную версию, что “слива не было”, “данные не актуальны” и “Дія здесь ни при чем!!”, — высказался Константин Корсун. — “Подсказали еще третий возможный канал утечки – банк, через BankID которого парень регистрировался в Действии. Если это так, “Дія” для идентификации цифровой личности использует базы данных банков, которые продаются на черном рынке. Прелестно”.
Фокус также спросил у эксперта, какой орган регулирует деятельность частных компаний, которые считывают данные украинцев через Дию. Константин Корсун отметил, что у Минцифры нет какого-либо регламента, требований или нормативно-правовой базы для регулирования взаимодействия между госсервисом и частными компаниями вроде “Новой почты”.
Источник: ФОКУС
Tweet