Утечка миллионов персональных данных граждан Украины из «Дії». Ботоферма убила тему на форуме, но она воскресла в Даркнете с новыми утечками

Федоров

Вчера вечером на одном из хакерских форумов, неизвестные киберпреступники, выставили на продажу предполагаемую базу персональных данных граждан Украины. Они предлагают данные от нескольких государственных ведомств. Первая часть — это сервис diia.gov.ua.

хакеры

Формат данных: SQL, JPG, JSON (Содержит расширенную информацию о гражданах, включая их документы (кодировка base64)

Таблица «Пользователи»:  с данными от ФИО, е-мейла и телефона до практически всех личных данных  включая номера паспортов и айди-карт.   Количество записей: 2,6 млн.

Файлы в таблице: В поле предварительного просмотра содержатся base64 закодированные JPG низкого качества паспортов, удостоверений личности, водительских прав, военных билетов, дипломов и сертификатов и т.д.  Количество записей: 13,5 млн.

Табличные подписи: В поле signed_data содержится JSON с расширенной информацией о гражданах, включая их документы. Количество записей: 4.1 млн.

Выложенные сэмплы очень похожи на настоящие данные.

Хакеры также опубликовали исходные коды портала diia.gov.ua.

Следующими лотами обозначили данные из: health.mia.software, minregion.gov.ua, wanted.mvs.gov.ua, e-driver.hsc.gov.ua, court.gov.ua

Напомним, что 13 января, сайты государственных органов Украины подверглись кибератаке. Были атакованы  70 сайтов центральных и местных органов исполнительной власти Украины. В частности, не работали сайты правительства, министерства иностранных дел, министерства образования и науки, Минэнерго, Минагрополитики, министерства по делам ветеранов, сайт Госказначейства и сайт госуслуг Дія.

В Госспецсвязи и Киберполиции утверждали, что контент сайтов не тронут, и хакеры не получили доступ к реестрам, где хранятся данные украинцев.

В «Дие» уверяли, что ничего не хранится, а только подтягивается из реестров.

May be an image of text

Центр анализа угроз американской корпорации Microsoft (Microsoft Threat Intelligence Center, MSTIC) выявил свидетельства внедрения разрушительного вредоносного программного обеспечения в системы множества организаций в Украине, говорится в уведомлении пресс-службы компании.

Жертвами этого программного обеспечения стали правительственные ведомства, обеспечивающие критически важные функции исполнительной власти, отметила Microsoft.

Также пострадала фирма, управляющая сайтами для клиентов из государственного и частного сектора, в том числе правительственных ведомств, чьи сайты были недавно взломаны. Microsoft не уточнила, о какой фирме идет речь.

Американский софтверный гигант подчеркнул, что хакеры не использовали уязвимости в продуктах и сервисах Microsoft.

Как пишет представитель Украинского киберальянса Sean Brian Townsend, данные в примерах, опубликованных хакерами свежие, за декабрь прошлого года.

К сожалению, первый же комментарий инцидента от Дії, оказался манипуляцией. На Фейсбук-странице  они написали, что это провокация и продолжение гибридной войны. Что якобы, начиная с прошедших выходных в интернете постоянно появляются объявления о продаже данных полученных во время кибератаки, которая состоялась с 13 на 14 января. «В том числе много объявлений касается продажи базы данных „Дії“. Такие объявления имеют целью не только запугать общество. А еще и дестабилизировать ситуацию в Украине, остановив работу государственного сектора», — пишут на представители Дії.

Все это сопровождается скриншотами, которые не относятся именно к объявлению о продаже, которое так взбудоражило экспертов (самый верхний скриншот). Ну и про количество тоже не досмотрели.

скриншот

Скриншот: Tim Karpinsky

Да, действительно, на этом форуме, часто бывают разные компиляции баз, и фейки. Но в обсуждаемом случае, все выглядит очень реально. Предлагаемые киберпреступниками для ознакомления, выдержки из утечки, слишком свежие и очень похожи на настоящие данные. Некоторые персоналии уже проверены независимыми специалистами и подтверждены их актуальные данные.Обновлено в 17:00:С полудня, на самый популярный тред с обсуждением этого инцидента, на ФБ-странице спикера Украинского киберальянса Андрея Барановича, вероятно по указке Минцифры, нагнали ботов опровергать опасность этой утечки, после обеда, интенсивность ботов на странице с обсуждением резко увеличилась, число комментариев уже выросло до 1700 (на момент обновления новости), пользователи соцсети беспокоятся, что количество бото-жалоб может вынудить Фейсбук, заблокировать страницу.

Как можно увидеть под этой новостью у нас, также работает ботоферма (не успеваем банить)

Обновлено 22:30:

На портале на портале айтишников DOU.ua, пользователь с ником Włodzimierz Rożkow, сделал небольшой анализ одного из сэмплов дампа базы данных на 100 000 записей.  Приводим его запись:


Небольшой анализ сэмпла

Какие данные слиты?

  • емейл;
  • номер телефона;
  • ФИО;
  • ИНН;
  • дата рождения;
  • пол;
  • является ли человек ФОПом;
  • адрес регистрации, является ли адрес частным домом;
  • паспортные данные: серия, номер, дата выдачи, выдавший орган;
  • данные ИД-карты: номер, дата выдачи, номер выдавшего органа, срок годности;
  • данные загранпаспорта: серия и номер, номер выдавшего органа, срок годности.

Думаю, что мошенников будут в первую очередь интересовать номера телефонов и паспортные данные. Не так давно я звонил в УкрСиббанк и для верификации у меня вместо кода-пароля спросили только паспортные данные. Не уверен, что с этим можно что-то сделать, но поле для атак должно быть широким.

Я загнал базу в локальный постгресс и сделал несколько запросов:

Распределение людей по датам рождения

select  extract ( year  from  birthday)  as  yyyy,       count ( * )from  userswhere  birthday  is  not  nullgroup  by  1order  by  1  descВидно, что есть свежие данные:

2007,11
2006,20
2005,59
2004,156
2003,500
2002,784
2001,967
2000,1352
1999,1423
1998,1766
1997,1893
1996,1987
1995,2032
1994,2219
1993,2258
1992,2477
1991, 2466
1990,2566

Распределение выданных ид-карт по годам:

select  extract ( year  from  id_card_issue_date)  as  yyyy,       count ( * )from  userswhere  users.id_card_issue_date  is  not  nullgroup  by  1order  by  1  desc ;2021,3450
2020,3016
2019,3909
2018,3297
2017,2178
2016,850

Говорите, «данные из старых источников»?

Распределение выданных паспортов по годам:

select  extract ( year  from  passport_issue_date)  as  yyyy,       count ( * )from  userswhere  users.passport_issue_date  is  not  nullgroup  by  1order  by  1  desc ;2021,63
2020,72
2019,39
2018,96
2017,219
2016,1777
2015,2876
2014,3024
2013,2826
2012,2462 2011
_

Видно, что паспорта перестали выдавать после 2016, когда ввели ID-карты. Записи за более поздние годы – это вероятно перевыпуск.

Относительно ФОП:

Многие люди пишут будто бы это база данных ФЛП, которые есть в открытом доступе. В этой базе за ФЛП отвечает пара колонок: isIndividualEntrepreneur и ЕГРПОУ. Количество людей с ФЛП в сэмпле составляет примерно 3%:

select  «isIndividualEntrepreneur»,  count ( * )from  usersgroup  by  «isIndividualEntrepreneur»false,96451
true,3549

Но даже если бы все были ФОПами, то откуда в базе серии и номера паспортов те другие данные? Эта информация не открыта.


Один из пользователей форума написал автору поста, что он нашел себя в сэмпле и проверил ID с тем, что выдает приложение Дія. ID совпал, поэтому у нас есть серьезные основания считать что все-таки данные подлинные!

Еще несколько человек на этой площадке, нашли своих знакомых в слитых сэмплах, и их данные верны.

Как отмечает DOU.ua, Александр Федиенко, депутат Верховной Рады и заместитель председателя Комитета по цифровой трансформации и председатель правления Интернет ассоциации Украины отметил : «Да, действительно, определенная утечка информации произошла. Под подозрение пока подпадают ряд государственных учреждений-распорядителей этой информации». Он также предложил «сброситься и приобрести» данные, чтобы посмотреть, «что там они надомили».

«Я уже поставил задачу помощнику подготовить соответствующие обращения. В связи с чем предлагаю предоставить профессионально грамотные вопросы в соответствующие государственные (другие) учреждения, относительно природы утечки и насколько он связан с „Действие“ и „Трембита“. Вопрос прошу посылать помощнику, он обобщит и подготовит обращение. По результатам будет сообщено», – написал он.

По мнению Владимира Пасеки, разработчика «Джуры», это может быть попыткой российских хакеров замаскироваться под «коммерческих» хакеров, а сам факт «слива» на День Соборности вполне типичен для российских спецслужб.

«Данные „живые“. Дамп сайта указывает, что это продукт компании Kitsoft. В логах сайта последняя запись по состоянию на 2019, а в базе декабрь 2021. Если подытожить, то китсофтовцы сделали пачку критически важных государственных сайтов на платформе OctoberCMS, которая по факту является надстройкой над Laravel Framework и не славится надежностью и стабильностью.

Возможно, взломали только портал Дія, а не приложение.

Как результат — пачка взломанных сайтов, а Дію просто украли вместе с данными пользователей (которые они типа не хранили) и файлами самого сайта», — написал Владимир Пасика на своей FB-странице.

В комментариях к сообщению Kitsoft ответили: «Коллеги, портал Дія не использует October cms и работает вообще не на php, а на другом стеке технологий. Данные по всей вероятности могут быть компиляцией ранее опубликованных сливов. Давайте дождемся официальной информации, прежде чем делать выводы».


Сегодня 23 января в 19 свое заявление обнародовал Департамент киберполиции Национальной полиции Украины: 

Информация об утечке данных с портала «Дія» не соответствует действительности

Подобные информационные фейки не что иное как элемент гибридной войны и попытка дестабилизировать ситуацию в государстве.

Информация о возможной утечке данных из портала «Дія» начала распространяться после того, как в сети Интернет пользователь на одном из форумов опубликовал объявления о продаже базы данных.

Появление такого объявления сразу начали связывать с кибератакой на государственные веб-ресурсы, состоявшейся в ночь с 13 на 14 января.

Впрочем, информация о взломе портала «Дія» не соответствует действительности.

Более того – Киберполиция, Госспецсвязи и СБУ объединили усилия и вместе с международными экспертами устанавливают источники происхождения кибератаки. А для надлежащего реагирования на подобные ситуации организован постоянный мониторинг фактов продаж баз с любых ресурсов.


Сегодня 24 января выяснилось, что боты Минцифры заспамили хакерский форум и добились удаления темы с утечками из портала «Дія» и прочих госссайтов.

Ботоферма Минцифры, после атак на сайты, разместившие новость об утечке персональных данных из госсайтов, и ФБ-страницы, где обсуждалась эта проблема, атаковали администрацию хакерского форума, где первоначально киберпреступники разместили объявление о продаже этих украденных данных.

В результате им удалось добиться удаления этого треда, на что пожаловались сами продавцы утечки. Они переместились в Даркнет, и разместили свое объявление там, добавив к ранее выставленным данным 2.6 миллиона украинцев из Дії, базу данных с 1.8 миллиона данных водителей из «електронного кабінету водія» и сами исходные коды этого портала.

утечка

Как утверждают пострадавшие от ботофермы киберпреступники, удаление их темы на RaidForum, произошло после того, как множество новых аккаунтов начали писать жалобы в администрацию форума с просьбой не доверять этим данным. Они пожаловались на уничтожение «очередного островка свободы» и ушли торговать в Даркнет. Теперь украденные 765 GB данных с портала diia.gov.ua они оценивают в  85 тыс. долл., а 431 GB данных с портала e-driver.hsc.gov.ua в 55 тыс. долл. Исходники портала e-driver.hsc.gov.ua они предлагают бесплатно, как и сэмплы примеров базы водителей.

УК

Читайте также: