Привилегия приватности: наши данные больше не наши. И Дія тут ни при чем

В 2018 году для своего выступления на IForum я провел эксперимент. Темой был заявлен спич  "Темная сторона инноваций" и мне хотелось продемонстрировать участникам форума, насколько легко можно получить доступ к их персональным данным.  

В Украине существуют закрытые группы в Телеграм, куда анонимно может добавиться любой пользователь и купить различные базы данных. Мы собрали данные прошлых лет, которые буквально отдавали даром и объединили их в единую систему. Среди них были как базы частных компаний, вроде Приватбанка, Новой почты и Киевстара, так и государственные реестры. Например, база избирателей Украины. 

Подписывайтесь на рассылки Liga.net - только главное в вашей почте

Настроив поиск в базе, у пользователя есть возможность не просто узнать данные конкретного пользователя, но и выяснить имена его коллег и даже соседей. Абсолютно бесплатно, с помощью лишь мобильного телефона и Excel за несколько дней была собрана база данных 11 млн украинцев. В качестве демонстрации нашей информационной уязвимости, на форуме у каждого участника была возможность "погуглить" себя в базе и увидеть, какие его данные уже стали доступны мошенникам. Практически 80% из них нашли информацию о себе в "скомпилированной" базе. 

Не так давно об утечке персональных данных снова заговорили.

Информационным поводом стал телеграм-бот, который незаконно предоставлял персональные данные украинцев.

Первые упоминания о боте датируются еще концом марта. Но лишь 11 мая, когда  в канале сообщили о доступе к крупному массиву данных водительских удостоверений, о нем заговорили во всеуслышание.

Читайте также - Кто-то в очередной раз слыл наши данные в сеть. Вы еще НЕ привыкли?

В поисках источника слива взгляды обратились на сервис государственных услуг "Дія", запущенный несколько месяцев назад Министерством цифровой трансформации. Причина проста - одним из первых документов, ставшим доступным в приложении, стали как раз водительские права.

Виновна Дія или нет? 

Я решил разобраться, почему винить "Дію" не имеет смысла и что делать тем, чьи данные стали достоянием общественности. 

Начнем с простого.  Количество скачиваний приложения "Дія" на Android составило примерно 2 млн раз. Исходя из пропорций пользователей Android и IOS, можно предположить, что пользователи айфонов скачали приложение где-то 1 млн раз. 7 мая на официальной странице "Дія" опубликовали статистику скачиваний - она составила 3 млн скачиваний. В начале февраля, в момент запуска приложения, в профильном министерстве сообщили о том, что до конца года количество пользователей приложением "Дія" увеличится в тысячу раз – до 10 млн. 

При этом, необходимо отметить, что загруженные документы в приложение составляют ~ 80 % от общего количества скачанных приложений, то есть, в базе указанного приложения, при оптимистичных прогнозах, на данный момент может находится ~ 8 млн. водительских прав и технических паспортов. В самом же боте UA Baza BOT (на данный момент уже заблокирован) 11 мая вышло обновление, которое в себя включало 26 млн водительских удостоверений. 

После случившегося скандала с якобы утечкой данных из приложения "Дія" в Министерстве цифровой трансформации Украины в качестве опровержения заявили о том, что в Украине всего 9,5 млн. водительских прав, из которых в приложении отображаются 6,5 млн., что подтверждает мои калькуляции. Кроме этого, приложение "Дія" не имеет собственных баз данных и не хранит информацию на своих серверах. 

Хотите узнать все детали? Возможно, ваши данные тоже попали в продажу - В Telegram продают 900 ГБ персональных данных украинцев. Откуда данные и что делать?

Предварительный анализ информации бота свидетельствует об использовании старых баз. Как я писал выше, все они уже давно доступны в Darknet. В частности, проведя анализ выяснилось, что данный бот с завидной регулярностью пополнялся новыми базами. 

Хронология развития и наполнение базами удаленного бота выглядела так:

• 14 апреля добавлена база кредитных историй 2012 - 2016 гг. (175 372 человека; 230 562 телефонов)

• 15 апреля добавлена база накрутки подписчиков инстаграм (СНГ) (123 344 записи: логин инстаграм, ip adress, телефон, email)

• 17 апреля  добавлена база контактов (148 млн. контактов)

• 23 апреля добавлена база 2GIS (128 075 записей с телефонами, 226 872 компаний, 32 998 email, 4 199 сайтов)

• 30 апреля добавлена база недействительных и утерянных паспортов (6 711 763 документов)

•  03  мая добавлена база резюме с IT-ресурса habr.com (160 000 резюме, 90 % с фото)

• 04 мая добавлена фб-база (285 638 анкет людей, которые участвовали в агитации за различные политические силы)

•  07 мая добавлена база JTP Partner Украина (14 000 контактов официальных представителей JTP Partner)

• 11 мая добавлена база водительских удостоверений с фото (26 млн. удостоверений водительских прав, 5,2 млн. фото)

На данный момент бот заблокирован, но вместе с тем в сети множатся фейковые аккаунты с подобным названием, которые также предлагают продажу данных за $50-200. На деле такие аккаунты не имеют никаких баз, а являются обыкновенными паразитами на фоне подогретого интереса к теме. 

Читайте также - Карантинная реальность: мессенджеры вместо личных встреч. Время защищать данные

Что это значит для пользователей? 

Лишь то, что пора перестать верить в то, что наша приватность может быть нарушена. Она утрачена и утрачена навсегда. Гарантировать безопасность наших персональных данных на данный момент не могут ни государственные органы, ни частные компании. 

Кроме этого, мы самостоятельно ежедневно добровольно отдаем свои данные различным сервисам и должны быть готовы к тому, что рано или поздно они станут доступны другим людям. 

Здесь, как с коронавирусом - невозможно противостоять угрозе, но можно выработать безопасные правила поведения:

1. Имейте разные почты для рабочих и личных задач. Устанавливайте сложные (неочевидные) комбинации паролей и периодически их меняйте; 

2. Проводите ревизию почт и удаляйте письма с конфиденциальной/личной информацией (пароли, телефоны, адреса, данные паспортов);

3. Имейте отдельный номер телефона для финансовых операций. Не указывайте его нигде и  не используйте для других целей, кроме банковских операций;

4. Привяжите аккаунты социальных сетей к отдельной почте, не связанной другими почтами (в том числе, отсутствие связи по названию почт);

5. Внимательно относитесь к входящим письмам, в которых использована ваша личная информация (марка и номер автомобиля, домашний адрес или имена родственников). Валидируйте такие письма из нескольких источников и лишь потом отвечайте на них.