В Украине снова кто-то слил данные украинцев в сеть. Все начали винить Дію. Не стоит. Но что делать тем, чьи данные стали достоянием общественности?
В 2018 году для своего выступления на IForum я провел эксперимент. Темой был заявлен спич "Темная сторона инноваций" и мне хотелось продемонстрировать участникам форума, насколько легко можно получить доступ к их персональным данным.
В Украине существуют закрытые группы в Телеграм, куда анонимно может добавиться любой пользователь и купить различные базы данных. Мы собрали данные прошлых лет, которые буквально отдавали даром и объединили их в единую систему. Среди них были как базы частных компаний, вроде Приватбанка, Новой почты и Киевстара, так и государственные реестры. Например, база избирателей Украины.
Настроив поиск в базе, у пользователя есть возможность не просто узнать данные конкретного пользователя, но и выяснить имена его коллег и даже соседей. Абсолютно бесплатно, с помощью лишь мобильного телефона и Excel за несколько дней была собрана база данных 11 млн украинцев. В качестве демонстрации нашей информационной уязвимости, на форуме у каждого участника была возможность "погуглить" себя в базе и увидеть, какие его данные уже стали доступны мошенникам. Практически 80% из них нашли информацию о себе в "скомпилированной" базе.
Не так давно об утечке персональных данных снова заговорили.
Информационным поводом стал телеграм-бот, который незаконно предоставлял персональные данные украинцев.
Первые упоминания о боте датируются еще концом марта. Но лишь 11 мая, когда в канале сообщили о доступе к крупному массиву данных водительских удостоверений, о нем заговорили во всеуслышание.
В поисках источника слива взгляды обратились на сервис государственных услуг "Дія", запущенный несколько месяцев назад Министерством цифровой трансформации. Причина проста – одним из первых документов, ставшим доступным в приложении, стали как раз водительские права.
Виновна Дія или нет?
Я решил разобраться, почему винить "Дію" не имеет смысла и что делать тем, чьи данные стали достоянием общественности.
Начнем с простого. Количество скачиваний приложения "Дія" на Android составило примерно 2 млн раз. Исходя из пропорций пользователей Android и IOS, можно предположить, что пользователи айфонов скачали приложение где-то 1 млн раз. 7 мая на официальной странице "Дія" опубликовали статистику скачиваний – она составила 3 млн скачиваний. В начале февраля, в момент запуска приложения, в профильном министерстве сообщили о том, что до конца года количество пользователей приложением "Дія" увеличится в тысячу раз – до 10 млн.
При этом, необходимо отметить, что загруженные документы в приложение составляют ~ 80 % от общего количества скачанных приложений, то есть, в базе указанного приложения, при оптимистичных прогнозах, на данный момент может находится ~ 8 млн. водительских прав и технических паспортов. В самом же боте UA Baza BOT (на данный момент уже заблокирован) 11 мая вышло обновление, которое в себя включало 26 млн водительских удостоверений.
После случившегося скандала с якобы утечкой данных из приложения "Дія" в Министерстве цифровой трансформации Украины в качестве опровержения заявили о том, что в Украине всего 9,5 млн. водительских прав, из которых в приложении отображаются 6,5 млн., что подтверждает мои калькуляции. Кроме этого, приложение "Дія" не имеет собственных баз данных и не хранит информацию на своих серверах.
Предварительный анализ информации бота свидетельствует об использовании старых баз. Как я писал выше, все они уже давно доступны в Darknet. В частности, проведя анализ выяснилось, что данный бот с завидной регулярностью пополнялся новыми базами.
Хронология развития и наполнение базами удаленного бота выглядела так:
-
14 апреля добавлена база кредитных историй 2012 — 2016 гг. (175 372 человека; 230 562 телефонов)
-
15 апреля добавлена база накрутки подписчиков инстаграм (СНГ) (123 344 записи: логин инстаграм, ip adress, телефон, email)
-
17 апреля добавлена база контактов (148 млн. контактов)
-
23 апреля добавлена база 2GIS (128 075 записей с телефонами, 226 872 компаний, 32 998 email, 4 199 сайтов)
Читайте также: Дані в безпеці – якщо ви при владі. Як виглядає діджиталізація в Україні
-
30 апреля добавлена база недействительных и утерянных паспортов (6 711 763 документов)
-
03 мая добавлена база резюме с IT-ресурса habr.com (160 000 резюме, 90 % с фото)
-
04 мая добавлена фб-база (285 638 анкет людей, которые участвовали в агитации за различные политические силы)
-
07 мая добавлена база JTP Partner Украина (14 000 контактов официальных представителей JTP Partner)
-
11 мая добавлена база водительских удостоверений с фото (26 млн. удостоверений водительских прав, 5,2 млн. фото)
На данный момент бот заблокирован, но вместе с тем в сети множатся фейковые аккаунты с подобным названием, которые также предлагают продажу данных за $50-200. На деле такие аккаунты не имеют никаких баз, а являются обыкновенными паразитами на фоне подогретого интереса к теме.
Что это значит для пользователей?
Лишь то, что пора перестать верить в то, что наша приватность может быть нарушена. Она утрачена и утрачена навсегда. Гарантировать безопасность наших персональных данных на данный момент не могут ни государственные органы, ни частные компании.
Кроме этого, мы самостоятельно ежедневно добровольно отдаем свои данные различным сервисам и должны быть готовы к тому, что рано или поздно они станут доступны другим людям.
Читайте также: Додаток "Дія" звинуватили у "зливі" персональних даних українців. Влада заперечує
Здесь, как с коронавирусом – невозможно противостоять угрозе, но можно выработать безопасные правила поведения:
-
Имейте разные почты для рабочих и личных задач. Устанавливайте сложные (неочевидные) комбинации паролей и периодически их меняйте;
-
Проводите ревизию почт и удаляйте письма с конфиденциальной/личной информацией (пароли, телефоны, адреса, данные паспортов);
-
Имейте отдельный номер телефона для финансовых операций. Не указывайте его нигде и не используйте для других целей, кроме банковских операций;
-
Привяжите аккаунты социальных сетей к отдельной почте, не связанной другими почтами (в том числе, отсутствие связи по названию почт);
-
Внимательно относитесь к входящим письмам, в которых использована ваша личная информация (марка и номер автомобиля, домашний адрес или имена родственников). Валидируйте такие письма из нескольких источников и лишь потом отвечайте на них.
Підписуйся на сторінки UAINFO у Facebook, Twitter і YouTube
