Що відомо про «злив» Телеграм-ботом персональних даних українців

У ніч з 11 на 12 травня стало відомо про «злив» даних українських користувачів на анонімному каналі «UA Baza BOT». «Ми закінчили велику роботу, коли ви відпочивали на травневих празниках. База водійських посвідчень доступна в нашому сервісі. З дні фото будуть доступні у видачі для всіх. Після – лише в тарифі 500$. Понад 5 млн фото посвідчень зараз доступні в нашому сервісі (усього 26 млн посвідчень). Не переключайтесь», - написали автори бота. А в якості підтвердження, що інформація абсолютно достовірна – виклали скріншот із розмитими персональними даними ексдепутата «БПП» Олександра Грановського та чинного нардепа фракції «Слуга Народу» Олександра Дубінського.  

Що ж, «зливи» персональних даних – не новина  для України. На столичному ринку «Петрівка» їх можна купити за сотню-другу доларів. Однак чи не вперше (і, схоже, не востаннє) розрізнені бази даних із різних держреєстрів, комерційних компаній, соцмереж тощо – об’єднали в один «продукт» у формі бота в Телеграм. Усього, якщо вірити творцям каналу «UA Baza BOT, вони зібрали 900 гігабайт баз даних: 110 млн номерів телефонів, 148 млн контактів, 4,5 млрд емейлів, 3,4 млрд паролів, 51 млн ідентифікаційних кодів, 4,3 млн номерів автомобілів тощо.

ЩО ПРО ЦЕ ПИШУТЬ У МЕРЕЖІ?

Судячи з коментарів користувачів соцмереж, які скористалися телеграм-ботом, то одні з них свідчать про те, що могли бути злиті дані сервісу «Дія». Інші - що це не так. Приміром, користувач Олександр Шевченко повідомив, що в «злитій» базі зібрані свіжі дані, оскільки в там він знайшов своє фото, яке робив нещодавно. Також він розповів, що аналогічна ситуація – і з його знайомим. «Двадцять днів тому він здав паспорт і робить ID-картку, як ви думаєте, де ця інформація вже є? Правильно, у публічному доступі».

Водночас деякі інші користувачі пишуть, що в базі доступні лише їхні застарілі персональні дані, які вже багато років «гуляють» інтернетом, а от своїх нових документів вони в базах телеграм-бота не знайшли – хоча в «Дії» вони доступні.

Ваш покірний слуга також вирішив пошукати себе в базі. І, вбивши ім’я та прізвище – таки  знайшов: дату і місце народження, паспортні дані, ідентифікаційний код, адресу проживання, номери телефонів, а також те, що наприкінці минулого року змінив старий паспорт-книжечку на ID-картку (водійських прав немає). Деяка інформація, звісно, давно застаріла, але… Одразу зазначу, що додаток «Дія» жодного разу не завантажував, в системі ніколи не реєструвався!

ХТО НАЙГОЛОСНІШЕ КРИЧИТЬ «ТРИМАЙ ЗЛОДІЯ»?

Найбільший шквал критики глава Мінцифри Михайло Федоров отримав від нардепа фракції «Слуга народу» Олександра Дубінського, який, не розмінюючись словами, крив міністра у себе на сторінці в FB на всі лади: «…Федорова можна вже зі скандалом вигнати, в зв'язку з тим, що всі бази «Дії» - «попливли» в інтернет. Продаж особистих даних. Міша – молодець».

Згодом нардеп видалив цей допис. Але опублікував інший: «Тільки що розмовляв з Федоровим, який протягом дня обіцяє надати інформацію про те, хто і як зливає дані з державних реєстрів. До моменту отримання цієї інформації дописи про «Дію» видалені. Якщо інформація виявиться не релевантною або (він) не доведе зворотного - повернемося до теми».

Що ж, своєю чергою ми відшукали не менш цікаву деталь (в жодному разі нікого ні в чому не беремося звинувачувати – просто зафіксуємо). 11 травня Олександр Дубінський (до слова, Андрій Портнов також) у своєму Телеграмі розрекламував канал під назвою «Таємниці Депутата» (рос. «Тайны Депутата»). Ба навіть більше, присвятив цьому каналу допис вдячності. Мовляв, дякую тг-канал «Таємниці Депутата» за прекрасну відповідь усім «іноземним агентам», які висвітлюють номери авто та іншу інформацію про сильних світу цього у своїх розслідуваннях. (Див. нижче)

Телеграм-канал «Таємниці Депутата», який рекламував Дубінський та Портнов

Однак не лише Дубінський рекламував «Таємниці Депутата». Аналогічно на Телеграм-каналі «UA Baza BOT» повідомляється, що відбулося «об’єднання з базою», якою поділився «автор каналу «Тайны Депутата».

МІНЦИФРИ: «ДІЯ» ТУТ НІ ДО ЧОГО

Михайло Федоров, очільник міністерства цифрової трансформації, яке відповідало за запуск «Дії», категорично заперечив усі звинувачення у «зливі» даних додатку. «Це неможливо навіть теоретично! По-перше, і головне: «Дія» не має бази даних і не накопичує таку інформацію. По-друге, кількість інформації, яка доступна у зазначеному боті набагато, в десятки, а то й сотні разів, перебільшує ту, з якою працює «Дія», - запевнив міністр.

За його словами, значна частина інформації, яку поширює телеграм-бот, - це дані зі старих баз, які вже багато років доступні у так званому даркнеті - тіньовому сегменті інтернету. Йдеться, зокрема, про бази даних клієнтів ПриватБанку (до націоналізації) і соцмереж - наприклад Linkedin та «ВКонтакте».

Пан Федоров також розповів, що розслідувати роботу телеграм-каналу вже почала Служба безпеки України. Згодом він припустив, що звинувачення на адресу «Дії» - це цілеспрямована інформаційна атака. Мовляв, нещодавно він анонсував аудит державних реєстрів за участю СБУ, а також проведення процесу їхньої централізації. На його думку, люди, яким це невигідно, можуть стояти за нападками на додаток «Дія». «А що буде, коли запустимо новий будівельний реєстр, який готовий на 80%?», - цікавиться Михайло Федоров.

ПОЛІЦІЯ: РОБОТУ РЕСУРСУ ПРИПИНИЛИ, СПРАВУ – ВІДКРИЛИ

Національна поліція зареєструвала кримінальне провадження за фактом витоку інформації про персональні дані громадян з анонімного телеграм-каналу. Про це інформує пресслужба Міністерства внутрішніх справ.

«Попереднім аналізом встановлено, що обсяг протиправно оприлюднених персональних даних є компіляцію з інформаційних баз різних державних відомств і недержавних організацій за різні періоди попередніх років і не має відношення до початку роботи державного мобільного застосунку «Дія», - йдеться у повідомленні.

У відомстві також повідомили, що припинили роботу ресурсу, який протиправно розповсюджував персональні дані громадян. А також зазначили, що справа за ч. 2 ст. 361 ККУ (несанкціоноване втручання у роботу електронно-обчислювальних машин) порушена за фактом розповсюдження персональної інформації громадян на одному з анонімних телеграм-каналів.

КІБЕРЕКСПЕРТИ: «ЗЛИВ» ЧЕРЕЗ ДІЮ НЕ ВИКЛЮЧАЄМО, АЛЕ НЕ ФАКТ

Один із засновників Українського кіберальянсу Андрій Баранович (відомий як Шон Таунсенд) в коментарі Укрінформу заявив, що б не заявляли у Мінцифрі, але, теоретично, дістатися до інформації «Дії» можливо. 

«Дія (серверна її частина) стоїть між користувачем і реєстрами. З серверів «Дії» – повний доступ. І якщо комусь вдалося зламати Мінцифру, то витік – звідти. Але шахраї могли взяти вже «злиті» бази з різних джерел і просто об'єднати їх. Однак, як кажуть різні люди, трапляється й свіжа інформація, - каже Андрій Баранович. - Мені важко достовірно визначити звідки саме стався витік. Подібне відбувається постійно. За останні двадцять років в Мережі можна знайти практично будь-яку базу даних - або у вигляді окремих записів або цілком. Вартість варіюється від декількох доларів, до декількох сотень «зелених»».

Щодо того, як вирішити це питання на державному рівні, експерт Українського кіберальянсу наголосив: особистою відповідальністю чиновників, які керують цими даними. «Іменною. У кожного набору даних є розпорядник, і охороняти дані потрібно в першу чергу від тих, хто має до них безпосередній доступ. У разі, якщо щось втекло, чиновника потрібно покарати, не обов'язково жорстоко, але невідворотно. А Мінцифра, навпаки, намагається об'єднати державні реєстри в один гігантський банк даних і автоматизувати до нього доступ. Тому «текти» буде й надалі, а відповідальності ніякої. Помилка закладена не в конкретній реалізації, а в самому підході», - стверджує він.

По можливості, як рекомендує Андрій Баранович, не залишайте особисті дані будь-де. «Використовуйте складні паролі, окремі для кожного сервісу і періодично їх змінюйте. Користуйтеся багаторівневою аутентифікацією і не завантажуйте на комп'ютер або телефон, будь-що. А особливо державні програми», - резюмував він.

Подібну думку також висловив експерт з кібербезпеки, співзасновник компанії «Бережа Сек’юріті» Костянтин Корсун. На питання щодо причетності до витоку даних сервісу «Дія» він повідомив: не виключено. Але «Дією», наголошує експерт, нині користується лише 3 мільйонів громадян, а у доступу знаходиться 26 мільйонів водійських посвідчень.

«Це і деякі інші моменти приводять до думки, що телеграм-бот – це лише сучасна версія давно відомого та популярного бізнесу підпільних інтернет-майданчиків по «пробиву» та «продажам баз даних». Зазвичай від 50 до 70 відсотків інформації у цих базах є сміттям: дані або застарілі, або давно не актуальні. Або взагалі відсутні, тому їх інколи навіть вигадують. Свіжими та актуальними є приблизно 10-20%», - каже Корсун.

За його словами, бази даних продають ті, хто має до них доступ, хто їх будує, хто їх адмініструє, хто ними користується. Себто, це може бути і генерал поліції, і системний адміністратор, і провідний аналітик, а може – працівник зовнішнього підрядника. «І Дія так само під загрозою, оскільки має прямий і повний доступ до будь-якого запису у багатьох державних реєстрах», - наголосив експерт з кібербезпеки.

За його словами, згідно чинного законодавства, додаток та портал «Дія» як державні інформаційні ресурси мали запускати з атестатом відповідності КСЗІ (набір вимог до безпеки державних інформаційних систем – Ред.). «Але цю вимогу проігнорували. І дарма. Зараз хоча б крайній знайшовся, - каже Корсун. - Вихідний код «Дії» зберігається у таємниці, і тому неможливо стверджувати, що, по-перше, додаток не містить прихованих функцій та критичних чи серйозних вразливостей у всіх елементах його архітектури. Також досі таємницею є процедура тестування додатку на безпеку, які вразливості виявлені та чи були вони виправлені після тестування. «Від твердження «злив відбувся лише через Дію» - поки утримаюся. Схиляюся до думки, що більша частина зливу до «Дії» не має прямого відношення, але не виключаю, що якась маленька частина – таки має», - каже Костянтин Корсун.

ЮРИСТ: «ВИТІК» МОЖЕ ПРИЗВЕСТИ ДО СПЛЕСКУ ШАХРАЙСТВ

Юрист, керуючий партнер фірми «єПраво» Віталій Власюк стверджує, що «злив» телеграм-ботом персональних даних може породити випадки шахрайства, рейдерства, видачі кредитів на чуже ім‘я.

«Всюди, де можна використати паспортні дані для махінацій, шахраї це намагатимуться зробити. Тобто передбачаємо гірше. У зв’язку з цим рекомендую переглянути свої паролі до карток та аккаунтів, і слідкувати за балансами на банківських рахунках», - каже він.

Відповідаючи на запитання - наскільки реально притягнути до відповідальності зловмисників за розповсюдження персональних даних, а  розпорядників - за їх витоки, юрист стверджує, що це цілком можливо.  Що стосується розслідування про поширювачів інформації – то це, насамперед, робота поліції та СБУ. При цьому кожен громадянин може позиватися до найбільших розпорядників баз даних (МВС, податкова служба, інші міністерства та відомства) – за неналежний захист його персональних даних. «Відповідальність за такі діяння становить від 1700 до 17000 грн. залежно від виду порушення та його повторності. Зазвичай, в межах відповідних проваджень проводяться необхідні експертизи, які й доводять, що витік стався саме з тієї чи іншої конкретної бази», - резюмував юрист.

Звісно, не варто очікувати, що позовів у даному випадку буде шквал – пересічні громадяни не надто довіряють вітчизняному правосуддю в питаннях захисту власних прав, а тим більше у такій «дрібниці» як захист персональних даних. Швидше, відмовляться від додаткової діджиталізації. Але ті, хто зважиться довести провину розпорядників в суді, матиме всі шанси виграти позов – в світовій практиці це дуже серйозна провина держави перед громадянином.

Мирослав Ліскович. Київ