Чи стався витік даних громадян України з Дії: оцінюємо вірогідність

На фоні нещодавніх проблем у «Дії» через голосування на відборі Євробачення знову почались розмови про те, що у застосунку «Дія» міг статися витік персональних даних. Однак міністр цифрової трансформації Михайло Федоров це заперечував. Ми подивилися, які персональні дані українців можна знайти в інтернеті та поміркуємо, чи могло це статися через «Дію».

У Google є можливість перевірити, які з ваших персональних даних витекли в інтернет та продаються або просто виставлені у DarkNet (прихованій мережі, де люди можуть обмінюватися незаконними даними та інформацією). Для цього потрібно перейти за посиланням. Google може показати за вашої адресою електронної пошти, з яких ресурсів витекли ваші дані. Але він показує лише ті дані, які вже знайшов робот-пошуковик. Певні дані ще можуть бути не виставлені, відповідно їх пошуковик і не побачить.

Які дані потрапили в інтернет та де ви їх могли залишити?

Якщо це не основна ваша адреса електронної пошти, якою ви рідко користуєтеся та не використовуєте для реєстрації на різних сайтах, а ще якщо цю адресу ви не використовуєте з різними надавачами послуг – цих даних може і не бути у даркнеті. Але якщо це ваша персональна електронна поштова скринька, якою користуєтеся багато років, на яку отримуєте довідки тощо – скоріше за все дані про неї є у злочинців.
Один з витоків персональних даних, які потрапили у поле зору, називається Ukraine PII. Такий виток даних буде у більшості українських користувачів інтернету. Що ж там за дані? Тут зібрана інформація про:

• Адресу електронної пошти;
• Стать людини;
• Прізвище та ім’я по батькові;
• Дата народження;
• Адреса проживання (реєстрації);
• Номер телефону.

Ці дані опинилися у DarkNet у травні 2023 року. Таким чином, будь-який зловмисник, який знає, як це зробити, може отримати ці дані про вас. І це лише те, що знайшов Google. Фактично ж можуть бути й інші дані. Звідки ця інформація могла потрапити до інтернету? Тут варто пригадати всіх, хто цією інформацією міг розпоряджатися та всіх, кому ви давали дозвіл на обробку власних персональних даних.

Одним з вірогідних варіантів здається мобільний застосунок та вебпортал «Дія», який зберігає найціннішу інформацію про всіх користувачів. Проте у «Дії» ще є дані ІПН (ідентифікаційного коду), номери паспортів (внутрішнього та закордонного), інформація про нерухомість та транспортні засоби, пенсійні посвідчення та багато іншого. Цим надбанням президентства Зеленського користується понад 20 мільйонів громадян. І, скоріше за все, дані всіх цих людей (або переважної більшості) є у даркнеті.

На початку 2022 року українські ЗМІ писали, що у «Дії» стався витік даних внаслідок кібератаки 14 січня 2022 року. Дослідники казали, що у «Дії» збирають інформацію з реєстрів різних відомств та показують користувачам на екранах пристроїв. «Найімовірніший такий алгоритм: вся інформація, всі дані громадян України зберігаються в реєстрах, а «Дія» лише змінює їх або показує», — пишуть експерти.

«Для технологічних потреб (принцип роботи сучасних високонавантажених сайтів) необхідна проміжна, тимчасова база (буфер обміну, кеш), розташована на боці інфраструктури порталу «Дія». У цій базі тимчасово зберігаються запити та відповіді з реєстрів — щось на зразок буфера обміну для копіювання інформації на комп'ютері та мобільному телефоні. Ось із цієї проміжної бази й стався витік», - стверджували у «Гільдії IT-фахівців».

Також на початку 2022 року стало відомо, що невідомий хакер злив у мережу дані 2,6 млн українців. Туди входили ПІБ, дата народження, стать, номери телефонів ІПН, дані закордонних паспортів та ID-карт. Цю інформацію він виставив на продаж за 15 тис. дол. Він стверджував, що нібито вкрав інформацію у «Дії». Поступово вартість цих даних зросла до 125 тис. дол., але вже від інших продавців.

У базі також були сканкопії паспортів, виданих у 2020-2021 роках, а структура даних була схожою на ту, що у «Дії». А експерт з кібербезпеки Олексій Барановський зазначав, що зловмисники могли вкрасти дані з кешу (тимчасової бази з даними, які використовуються найчастіше) «Дії» або перехопити запити користувачів, отримавши свіжі дані, а ще «склеїти» нові дані з викраденими з різних джерел раніше. Розробник додатка «Джура» Володимир Пасіка після власного аналізу тоді відзначив, що це дані саме з «Дії». А співзасновник ГО «Український Кібер Альянс» Андрій Баранович стверджував, що дані вкрали з «Дії» та «Кабінету водія».

На противагу цього Міністр цифрової трансформації Михайло Федоров заявив, що внаслідок кібератаки 14 січня 2022 року зловмисникам не вдалося вкрасти жодних персональних даних з урядових сайтів. Він наголошував, що «Дія» не зберігає інформацію, а лише відображає її з реєстрів. У поліції спростували тоді викрадення даних саме з «Дії». Також після інциденту наголосили, що розслідуванням займаються Кіберполіція, Держспецзв’язку, СБУ і міжнародні партнери. Тоді розпорядники держреєстрів казали, що дані можуть бути підробкою, а мета таких новин – посіяти паніку.

А от про витік з «Дії» у травні 2023 року (або кількома місяцями раніше) даних не писали нічого. Відповідно і Михайло Федоров та інші представники Мінцифри це не коментували. Але витік міг бути й не з «Дії», до того ж і раніше на пару років. Точно не відомо, які саме дані могли бути вкрадені у першій половині 2023 року. Ми можемо побачити лише те, що є у знайденій Google базі. А якось видалити свої дані звідти – неможливо.

Якщо ж витоки стаються не з «Дії», то вони можуть статися з державних реєстрів, до яких під’єднана «Дія». У тому числі це дані Державної податкової інспекції, Пенсійного фонду, РАЦСів, Реєстру юросіб та фізосіб-підприємців і громадських формувань. Цікаві зловмисникам дані можуть бути наявні і в місцевих органах влади, ЦНАПах, Державній службі зайнятості, комерційних банках, кредитних (у т.ч. мікрофінансових) установах, нотаріусів, будівельних компаній, медичних закладів та сайтів тощо. Відповідно витік може відбутися й у них. До слова, у 2022 році стався витік даних мільйонів клієнтів мікрокредитних організацій з України, Казахстану та росії.

Як злодії можуть використати ці дані?

По-перше, це так звана «нігерійська пошта» - розсилка спам-повідомлень електронною поштою про те, що «у Бразилії помер ваш далекий родич, який заповідав вам 15 млн дол., і от щоб їх отримати перейдіть за посиланням, оплатіть дорогу адвокату» або повідомлення про виграш у лотереї, в якій ви не брали участь тощо. Варіацій там дуже багато.

По-друге, персональні дані можуть використовувати росіяни для вербування потенційних навідників (наприклад, які будуть передавати інформацію про переміщення української військової техніки), для залякування людей, поширення різного спаму (у т.ч. для отримання додаткових даних). У квітні 2023 року Кіберполіція повідомила про затримання 36-річного чоловіка з Нетішина за підозрою у продажі даних понад 300 млн громадян України та країн Євросоюзу росіянам. За його словами, він це продавав за 500 – 2000 доларів.

По-третє, дані можуть використати шахраї, які виманюють гроші. Це можуть бути і «співробітники банку», які будуть вимагати назвати секретний код на кредитній картці, і «пропозиції інвестувати» кудись в акції іноземних компаній. Кошти з банку, де ви їх зберігаєте, можуть бути вкрадені зловмисниками за допомогою подібних трюків.

І навіть це може бути пропозиція від неіснуючого благодійного фонду переказати кошти на допомогу військовим, дітям, тваринам і т.п. Ми писали про депутата міської ради Сумської області, який створив 2 шахрайських колцентри у Дніпрі та Києві й виманив через них з підприємців 10 млн грн під виглядом допомоги ЗСУ. Ще на основі викладених у мережу персональних даних і за наявності скан-копій документів шахраї можуть взяти кредит у швидкозаймі на чуже ім’я. Або також можуть зламати акаунт електронної пошти та отримати доступ до важливих документів і листування, які там можуть бути.

Як зробити так, щоб шахраї не завдали вам шкоди?

Для того, аби розчарувати шахраїв, слід дотримуватися ряду правил. Перелік не вичерпний. Щоб зменшити ризики, бажано:

• встановити двофакторну авторизацію на власну електронну поштову скриньку (у т.ч. Gmail), на Facebook, на сайтах та у застосунках банків;
• завести окремий номер телефону (т.зв. «фінансовий номер») для банківських операцій, не користуватися ним у повсякденному житті;
• час від часу змінювати паролі на тих ресурсах, де є ваші персональні дані (і не забувати паролі);
• не переходити за сторонніми підозрілими посиланнями у соцмережах і на електронній пошті;
• не користуватися безкоштовним неліцензійним програмним забезпеченням від невідомих розробників (іноді такі програми можуть використовуватися для крадіжки даних користувачів).

Можливо, це буде цікаво читачам. Шахраї навчилися підробляти 500 грн, і навіть касири, роблячи перевірку, приймають ці підроблені купюри. У відео ви дізнаєтеся, як саме шахраї здійснюють цю підробку, що може виявити лише спеціальний апарат.

Підписуйтесь на наш Telegram-канал, щоб не пропустити важливих новин. За новинами в режимі онлайн прямо в месенджері слідкуйте у нашому Telegram-каналі  Інформатор Live. Підписатись на канал у Viber можна тут.