В Telegram продают 900 ГБ персональных данных украинцев. Откуда данные и что делать?
В мае 2019 года в Украине запустили систему "Трембита", которая должна объединить данные из разных государственных реестров. Пока реализация государственной системы продолжается, на черном рынке уже предлагают купить данные граждан из государственных и коммерческих реестров за $500. Один из таких массивов данных аккумулировал 900 гигабайт персональной информации украинцев.
Корреспондент Liga.Tech разбиралась, что произошло и при чем здесь мобильное приложение "Дія".
Что произошло?
В марте в Telegram появился анонимный канал и бот, в которых можно было "пробить" личную информацию об украинских гражданах. Информация подтягивалась из некоторых государственных реестров, а также баз данных частных компаний. В частности, бот выдавал данные из утекших ранее баз данных Приватбанка и Новой Почты.
11 мая в канале сообщили, что в базе появились данные о водительских правах 5,2 млн украинцев. Бесплатно любой пользователь мог сделать 5 запросов, за $500 - получить доступ ко всей базе.
Этим сервисом воспользовался основатель общественной организации “Электронная демократия” Владимир Фльонц. Поиск выдал паспортные данные Фльонца, старые пароли от его аккаунтов в LinkedIn и ВКонтакте, а также данные биометрического паспорта и водительских прав.
Владимир предполагает, что часть данных могла утечь из Единственного государственного демографического реестра, администратором которого является государственное предприятие “Документ”. В частности, биометрические данные, которые собирались перед внедрением безвиза Украины со странами Шенгенской зоны.
После огласки многие пользователи Facebook решили проверить актуальность данных в базе, которые есть в распоряжении Telegram-канала. Журналисту Андрею Яницкому бот сообщил, что он не состоит в браке, хотя на самом деле Андрей в браке больше 5 лет.
Некоторые пользователи отметили, что ранее заполнили документы в Приватбанке с ошибками - и затем увидели эти ошибки в выдаче бота. Другим пользователям бот показал информацию об удаленных аккаунтах в соцсети ВКонтакте. Однако многие пользователи нашли в базе свежие данные о себе. Например, недавно выданные электронные права.
Днём 12 мая бот перестал отвечать на запросы пользователей, а затем был отключен. 13 мая бот стал вновь доступным по новому адресу.
Откуда данные
Сливы реестров с персональными данными - не новинка для Украины. Уже легендарными стали торговцы с Петровки, которые продают их за $100-200 долларов. Однако впервые разрозненные базы данных из государственных реестров, коммерческих компаний и социальных сетей (LinkedIn, ВКонтакте) были объединены в удобной форме бота в Telegram.
Всего, если верить создателям бота, они собрали 900 гигабайт баз данных: 110 млн номеров телефонов, 148 млн контактов, 4,5 млрд емейлов, 3,4 млрд паролей, 51 млн идентификационных кодов и 4,3 млн номеров автомобилей.
В отдельном канале администраторы бота делились обновлениями базы. В боте была база от Интерфакса об 880 тыс. компаний с контактами их руководителей, база 2GIS с данными 226 тыс. компаний. HR-ам бот предлагал 160 тыс. резюме с IT-ресурса habr.com. Были данные из слитых баз Новой Почты и Приватбанка до национализации.
Из государственных реестров в боте были данные из базы избирателей 2014 года и некоторые данные из ЕГДР - именно к ним относятся фотографии на биометрику, которые привязаны к ИНН. Похоже, что использовались данные из сервисных центров МВД. Также в базе бота была информация из открытых реестров, доступных публично (в частности, ФОПы).
Руководитель IT-департамента ОПУ Егор Папышев считает, что администраторы бота просто использовали существующие базы персональных данных, чтобы получить больше денег без каких-либо затрат. Они обошли своим вниманием, например, базу собственников оружия, базы крупных ритейлеров, сервисы микрокредитования и интернет-провайдеров.
Базы данных попадают в открытый доступ двумя путями - случайно или умышленно.
Для того, чтобы данные случайно попали в сеть, достаточно, чтобы админ забыл поставить пароль. Так недавно случилось с базой вебкам-сайта CAM4. В открытом доступе оказались данные 11 миллионов пользователей: имена, электронные адреса, IP-адреса, хешированные пароли и информация о сексуальных предпочтениях.
Гораздо чаще данные из реестров попадают в сеть умышленно - благодаря коррумпированным чиновникам и администраторам, а также хакерам. Так в свое время произошло с базой данных Приватбанка.
Liga.Tech отправила в банк запрос, что сейчас банк делает для защиты данных пользователей, и ожидает ответа.
При чем здесь "Дія"
Сразу после того, как в сети появилась информация про торговлю данными, у многих пользователей возникло подозрение в том, что источником утечки может быть приложение “Дія”, разработанное Министерством цифровой трансформации.
Сооснователь волонтерского объединения «Украинский киберальянс» Андрей Баранович (Sean Townsend) отмечает, что определить источник утечки очень сложно. При этом он считает, что нельзя исключать и “Дію”, потому что у серверной части приложения есть прямой доступ к реестрам.
В министерстве цифровой трансформации Liga.Tech сообщили, что персональные данные пользователей не хранятся на серверах приложения, информация в каналах передачи данных передается в зашифрованном виде, а на некоторых этапах используется двойное шифрование. Сервера мобильного приложения находятся в Украине. Серверная часть системы развернута в облачной инфраструктуре, которая имеет необходимые сертификаты безопасности, уверяют в министерстве.
По факту утечки данных Национальная полиция открыла уголовное дело. Полиция установила, что массив персональных данных из Telegram скомпилирован из информационных баз различных государственных ведомств и неправительственных организаций за различные периоды предыдущих лет и не имеет отношения к работе государственного мобильного приложения «Дія».
По информации Государственного бюро расследований, которое также начало досудебное расследование, к утечке персональных данных могут бути причастны должностые лица Главного сервисного центра МВД Украины и Государственной миграционной службы.
Как защитить свои данные в сети
“Нам надо смириться с тем, что все наши данные могут попасть в сеть. Можно поменять паспорт или водительское удостоверение, чтобы старые были недействительными, но с новыми документами будет, скорее всего, то же самое, что и со старыми”, - отмечает эксперт Школы цифровой безопасности DSS380 Павел Белоусов.
Чтобы защитить свои данные в онлайн-банкинге и в соцсетях, Владимир Фльонц советует использовать несколько номеров телефонов и несколько адресов электронной почты. Не стоит использовать публичный телефон или адрес почты - так злоумышленникам будет намного сложнее взломать ваш аккаунт.
Во всех сервисах, где это возможно, следует включить двухфакторную авторизацию. Также необходимо иметь разные пароли для разных приложений. Для этого можно использовать менеджеры паролей, например 1Password.
Сервис Have I been pwned позволяет проверить, нет ли вашего аккаунта среди утекших в сеть и взломанных баз данных сервисов. Если это случилось, необходимо сменить пароль.
Егор Папышев рекомендует не устанавливать сомнительные (обычно - развлекательные) приложения на свои устройства, а также предоставлять свои персональные и контактные данные, только если без этого нельзя обойтись.