Следующими лотами обозначили данные из: health.mia.software, minregion.gov.ua, wanted.mvs.gov.ua, e-driver.hsc.gov.ua, court.gov.ua
Утечка миллионов персональных данных граждан Украины из “Дії”. Ботоферма убила тему на форуме, но она воскресла в Даркнете с новыми утечками
Вчера вечером на одном из хакерских форумов, неизвестные киберпреступники, выставили на продажу предполагаемую базу персональных данных граждан Украины. Они предлагают данные от нескольких государственных ведомств. Первая часть – это сервис diia.gov.ua.
Формат данных: SQL, JPG, JSON (Содержит расширенную информацию о гражданах, включая их документы (кодировка base64)
Таблица “Пользователи”: с данными от ФИО, е-мейла и телефона до практически всех личных данных включая номера паспортов и айди-карт. Количество записей: 2,6 млн.
Файлы в таблице: В поле предварительного просмотра содержатся base64 закодированные JPG низкого качества паспортов, удостоверений личности, водительских прав, военных билетов, дипломов и сертификатов и т.д. Количество записей: 13,5 млн.
Табличные подписи: В поле signed_data содержится JSON с расширенной информацией о гражданах, включая их документы. Количество записей: 4.1 млн.
Выложенные сэмплы очень похожи на настоящие данные.
Хакеры также опубликовали исходные коды портала diia.gov.ua.
Напомним, что 13 января, сайты государственных органов Украины подверглись кибератаке. Были атакованы 70 сайтов центральных и местных органов исполнительной власти Украины. В частности, не работали сайты правительства, министерства иностранных дел, министерства образования и науки, Минэнерго, Минагрополитики, министерства по делам ветеранов, сайт Госказначейства и сайт госуслуг Дія.
В Госспецсвязи и Киберполиции утверждали, что контент сайтов не тронут, и хакеры не получили доступ к реестрам, где хранятся данные украинцев.
В “Дие” уверяли, что ничего не хранится, а только подтягивается из реестров.
Центр анализа угроз американской корпорации Microsoft (Microsoft Threat Intelligence Center, MSTIC) выявил свидетельства внедрения разрушительного вредоносного программного обеспечения в системы множества организаций в Украине, говорится в уведомлении пресс-службы компании.
Жертвами этого программного обеспечения стали правительственные ведомства, обеспечивающие критически важные функции исполнительной власти, отметила Microsoft.
Также пострадала фирма, управляющая сайтами для клиентов из государственного и частного сектора, в том числе правительственных ведомств, чьи сайты были недавно взломаны. Microsoft не уточнила, о какой фирме идет речь.
Американский софтверный гигант подчеркнул, что хакеры не использовали уязвимости в продуктах и сервисах Microsoft.
Как пишет представитель Украинского киберальянса Sean Brian Townsend, данные в примерах, опубликованных хакерами свежие, за декабрь прошлого года.
К сожалению, первый же комментарий инцидента от Дії, оказался манипуляцией. На Фейсбук-странице они написали, что это провокация и продолжение гибридной войны. Что якобы, начиная с прошедших выходных в интернете постоянно появляются объявления о продаже данных полученных во время кибератаки, которая состоялась с 13 на 14 января. «В том числе много объявлений касается продажи базы данных „Дії“. Такие объявления имеют целью не только запугать общество. А еще и дестабилизировать ситуацию в Украине, остановив работу государственного сектора», — пишут на представители Дії.
Все это сопровождается скриншотами, которые не относятся именно к объявлению о продаже, которое так взбудоражило экспертов (самый верхний скриншот). Ну и про количество тоже не досмотрели.
Скриншот: Tim Karpinsky
Как можно увидеть под этой новостью у нас, также работает ботоферма (не успеваем банить)
Обновлено 22:30:
На портале на портале айтишников DOU.ua, пользователь с ником Włodzimierz Rożkow, сделал небольшой анализ одного из сэмплов дампа базы данных на 100 000 записей. Приводим его запись:
Небольшой анализ сэмпла
Какие данные слиты?
- емейл;
- номер телефона;
- ФИО;
- ИНН;
- дата рождения;
- пол;
- является ли человек ФОПом;
- адрес регистрации, является ли адрес частным домом;
- паспортные данные: серия, номер, дата выдачи, выдавший орган;
- данные ИД-карты: номер, дата выдачи, номер выдавшего органа, срок годности;
- данные загранпаспорта: серия и номер, номер выдавшего органа, срок годности.
Думаю, что мошенников будут в первую очередь интересовать номера телефонов и паспортные данные. Не так давно я звонил в УкрСиббанк и для верификации у меня вместо кода-пароля спросили только паспортные данные. Не уверен, что с этим можно что-то сделать, но поле для атак должно быть широким.
Я загнал базу в локальный постгресс и сделал несколько запросов:
Распределение людей по датам рождения
select extract ( year from birthday) as yyyy, count ( * )from userswhere birthday is not nullgroup by 1order by 1 descВидно, что есть свежие данные:
2007,11
2006,20
2005,59
2004,156
2003,500
2002,784
2001,967
2000,1352
1999,1423
1998,1766
1997,1893
1996,1987
1995,2032
1994,2219
1993,2258
1992,2477
1991, 2466
1990,2566
Распределение выданных ид-карт по годам:
select extract ( year from id_card_issue_date) as yyyy, count ( * )from userswhere users.id_card_issue_date is not nullgroup by 1order by 1 desc ;2021,3450
2020,3016
2019,3909
2018,3297
2017,2178
2016,850
Говорите, «данные из старых источников»?
Распределение выданных паспортов по годам:
select extract ( year from passport_issue_date) as yyyy, count ( * )from userswhere users.passport_issue_date is not nullgroup by 1order by 1 desc ;2021,63
2020,72
2019,39
2018,96
2017,219
2016,1777
2015,2876
2014,3024
2013,2826
2012,2462 2011
_
Видно, что паспорта перестали выдавать после 2016, когда ввели ID-карты. Записи за более поздние годы – это вероятно перевыпуск.
Относительно ФОП:
Многие люди пишут будто бы это база данных ФЛП, которые есть в открытом доступе. В этой базе за ФЛП отвечает пара колонок: isIndividualEntrepreneur и ЕГРПОУ. Количество людей с ФЛП в сэмпле составляет примерно 3%:
select “isIndividualEntrepreneur”, count ( * )from usersgroup by “isIndividualEntrepreneur”false,96451
true,3549
Но даже если бы все были ФОПами, то откуда в базе серии и номера паспортов те другие данные? Эта информация не открыта.
Один из пользователей форума написал автору поста, что он нашел себя в сэмпле и проверил ID с тем, что выдает приложение Дія. ID совпал, поэтому у нас есть серьезные основания считать что все-таки данные подлинные!
Еще несколько человек на этой площадке, нашли своих знакомых в слитых сэмплах, и их данные верны.
Как отмечает DOU.ua, Александр Федиенко, депутат Верховной Рады и заместитель председателя Комитета по цифровой трансформации и председатель правления Интернет ассоциации Украины отметил : «Да, действительно, определенная утечка информации произошла. Под подозрение пока подпадают ряд государственных учреждений-распорядителей этой информации». Он также предложил «сброситься и приобрести» данные, чтобы посмотреть, «что там они надомили».
«Я уже поставил задачу помощнику подготовить соответствующие обращения. В связи с чем предлагаю предоставить профессионально грамотные вопросы в соответствующие государственные (другие) учреждения, относительно природы утечки и насколько он связан с „Действие“ и „Трембита“. Вопрос прошу посылать помощнику, он обобщит и подготовит обращение. По результатам будет сообщено», – написал он.
По мнению Владимира Пасеки, разработчика «Джуры», это может быть попыткой российских хакеров замаскироваться под «коммерческих» хакеров, а сам факт «слива» на День Соборности вполне типичен для российских спецслужб.
«Данные „живые“. Дамп сайта указывает, что это продукт компании Kitsoft. В логах сайта последняя запись по состоянию на 2019, а в базе декабрь 2021. Если подытожить, то китсофтовцы сделали пачку критически важных государственных сайтов на платформе OctoberCMS, которая по факту является надстройкой над Laravel Framework и не славится надежностью и стабильностью.
Возможно, взломали только портал Дія, а не приложение.
Как результат — пачка взломанных сайтов, а Дію просто украли вместе с данными пользователей (которые они типа не хранили) и файлами самого сайта», — написал Владимир Пасика на своей FB-странице.
В комментариях к сообщению Kitsoft ответили: «Коллеги, портал Дія не использует October cms и работает вообще не на php, а на другом стеке технологий. Данные по всей вероятности могут быть компиляцией ранее опубликованных сливов. Давайте дождемся официальной информации, прежде чем делать выводы».
Сегодня 23 января в 19 свое заявление обнародовал Департамент киберполиции Национальной полиции Украины:
Информация об утечке данных с портала “Дія” не соответствует действительности
Подобные информационные фейки не что иное как элемент гибридной войны и попытка дестабилизировать ситуацию в государстве.
Информация о возможной утечке данных из портала «Дія» начала распространяться после того, как в сети Интернет пользователь на одном из форумов опубликовал объявления о продаже базы данных.
Появление такого объявления сразу начали связывать с кибератакой на государственные веб-ресурсы, состоявшейся в ночь с 13 на 14 января.
Впрочем, информация о взломе портала «Дія» не соответствует действительности.
Более того – Киберполиция, Госспецсвязи и СБУ объединили усилия и вместе с международными экспертами устанавливают источники происхождения кибератаки. А для надлежащего реагирования на подобные ситуации организован постоянный мониторинг фактов продаж баз с любых ресурсов.
Сегодня 24 января выяснилось, что боты Минцифры заспамили хакерский форум и добились удаления темы с утечками из портала «Дія» и прочих госссайтов.
Ботоферма Минцифры, после атак на сайты, разместившие новость об утечке персональных данных из госсайтов, и ФБ-страницы, где обсуждалась эта проблема, атаковали администрацию хакерского форума, где первоначально киберпреступники разместили объявление о продаже этих украденных данных.
В результате им удалось добиться удаления этого треда, на что пожаловались сами продавцы утечки. Они переместились в Даркнет, и разместили свое объявление там, добавив к ранее выставленным данным 2.6 миллиона украинцев из Дії, базу данных с 1.8 миллиона данных водителей из «електронного кабінету водія» и сами исходные коды этого портала.
Как утверждают пострадавшие от ботофермы киберпреступники, удаление их темы на RaidForum, произошло после того, как множество новых аккаунтов начали писать жалобы в администрацию форума с просьбой не доверять этим данным. Они пожаловались на уничтожение “очередного островка свободы” и ушли торговать в Даркнет. Теперь украденные 765 GB данных с портала diia.gov.ua они оценивают в 85 тыс. долл., а 431 GB данных с портала e-driver.hsc.gov.ua в 55 тыс. долл. Исходники портала e-driver.hsc.gov.ua они предлагают бесплатно, как и сэмплы примеров базы водителей.
УК
