Українці в соцмережах повідомили про нібито зламаний додаток “Дія” та витік їхніх персональних даних. Виявилося, що в Telegram запрацював бот, який пропонує продати дані – паспорти й водійські права з фото. У Міністерстві цифрової трансформації інформацію про причетність “Дії” назвали фейком, а ось фахівці з кібербезпеки не такі категоричні.

Детальніше про скандальну ситуацію – в матеріалі OBOZREVATEL.

Сайт та додаток “Дія” є єдиним державним вебпорталом електронних послуг і також ключовим сервісом у проєкті “держава в смартфоні”. Вони об’єднують у собі всі послуги, які надають громадянам і бізнесу.

За три місяці роботи мобільний додаток “Дія” скачали близько трьох мільйонів користувачів.

А вже 12 травня користувачі Facebook припустили, що їхні дані могли потрапити до шахраїв із додатка “Дія”, в якому зберігаються цифрові варіанти документів.

Про ситуацію написав на своїй сторінці в Facebook бізнесмен Олександр Шевченко. За його словами, витік даних стався саме з “Дії”.

“Хлопців, у вас “Дiя” втекла в інтернет, криворукі ви е **** ти. Перевірив себе. Всі дані в базі. Фото нові, оскільки травма ока на фото вже є. Попросив товариша перевірити себе. 20 днів тому він здав паспорт і робить ID-карту, як ви думаєте, де ця інформація вже є? Правильно – у відкритому доступі”, – повідомив Олександр.

У коментарях різко відреагували користувачі соцмережі. Дехто також стверджує, що бази для продажу персональних даних оновлюються регулярно.

Про витік персональних даних із “Дії” повідомив і народний депутат від “Слуги народу” Олександр Дубінський. Він написав у Facebook, що чат-бот запропонував йому купити дані. Також нардеп звинуватив Міністерство цифрової трансформації, проте потім видалив свій пост.

За словами Дубінського, він поговорив із главою Мінцифри Михайлом Федоровим, і той пообіцяв протягом дня надати інформацію про те, хто і як зливає дані з держреєстрів.

“До моменту отримання цієї інформації пости про “Дію” видалено. Якщо інформація Михайла виявиться нерелевантною або не доведе зворотного – повернемося до теми”, – пояснив свої дії нардеп.

Керівник громадської організації “Електронна демократія” Володимир Фльонц додав на своїй сторінці в Facebook, що поки міністерство тільки виношує глобальні плани, творці Telegram-бота “з’єднали разом дані держреєстрів, бази “Нової пошти”, паролі з ВКонтакте і linkedin і рясно приправили банківською таємницею”.

“Мені показали не лише паспортні дані, мої старі паролі (старі, але на той момент чинні!), дані з біометричних паспортів (зокрема фото) і вишенька на торті – водійське посвідчення, про яке я навіть не здогадувався. Навіть у “Дії” його не показує, а в хлопців у базі – є. Ось так уже зараз виглядає їхнє цифрове майбутнє”, – написав Фльонц.

Бот продає “персоналку” і попереджає про шахраїв

Telegram-канал з пропозиціями про продаж даних був створений ще 29 березня 2020 року.

А ось 11 травня з’явилося повідомлення про виконану “велику роботу”. У незаконному сервісі з’явилася база водійських посвідчень із фото.

“Три дні фото будуть доступні у видачі для всіх, після – тільки в тарифі за 500 $ як закрита інформація й під час перевірки себе”, – було сказано в повідомленні Telegram-каналу.

Цинічно прозвучало: “Наявність фото дозволить Вам більш точно ідентифікувати об’єкт і не потрапити на вудку шахрая”. У той час як продаж персональних даних – карна справа.

Для підтвердження, що дані абсолютно достовірні, було викладено скриншот із даними Олександра Грановського і Олександра Дубінського. Дещо, правда, розмили.

У самому ж чат-боті вказали, що пошук можна вести за ПІБ, номером телефону, ІПН тощо. Безкоштовно доступні тільки п’ять запитів, потім – за 500 доларів.

Міністерство цифрової трансформації: “Це фейк!”

Досить швидко відреагувало Міністерство цифрової трансформації і глава відомства – Михайло Федоров.

Суть заяв зводиться до того, що грішити на додаток “Дія” не можна, а хто поширює таку інформацію – розносить фейки.

За словами Федорова, попередній аналіз інформації, яку поширює Telegram-бот, показує, що ресурс використовує старі бази даних, які вже давно доступні в Darknet. Зокрема, це база даних “Приватбанку” тощо.

На пост Федорова іронічно відповів користувач Facebook Олег Попов.

“Почитав відповідь Федорова, він спокійно говорить, що всі бази вже давно в даркнету, тому нічого страшного. Цікаво, чому Мінцифри не поставила собі завдання провести ІТ-аудит кожного реєстру, якщо все вже давно гуляє, за словами самого міністра, і, судячи з усього, вони про це знали. Але хто ми такі, щоб ставити питання про цифрову трансформацію, час якої настав?” – написав він.

Пізніше, в ефірі ObozTV, Федоров заявив, що додаток “Дія” насправді є лише каналом для передачі даних і у нього немає бази даних.

За його словами, додаток передає дані з реєстрів МВС. По суті, це просто канал передачі, і цей канал зашифрований, зауважив Федоров.

Також міністр додав, що “сьогоднішні вкиди – це атака на міністерство, початок боротьби з тим, що ми робимо”.

Поліція почала розслідування

Національна поліція України 12 травня почала розслідування масштабного витоку даних громадян, які пропонував продати анонімний Telegram-канал.

Слідчі провели попередній аналіз і заявили, що витік не має відношення до початку роботи державного мобільного додатку “Дія”.

“Попереднім аналізом встановлено, що обсяг протиправно оприлюднених персональних даних є компіляцією з інформаційних баз різних державних відомств і неурядових організацій за різні періоди попередніх років і не має відношення до початку роботи державного мобільного додатку “Дія”, – сказано в повідомленні.

Зламання “Дії”? Все можливо

Як розповів у коментарі OBOZREVATEL співзасновник “Українського кіберальянсу” Андрій Баранович (відомий у мережі під ніком Шон Таунсенд), нині не можна достовірно стверджувати, звідки саме стався витік.

“Складно визначити, чи був витік саме з “Дії “або з самих реєстрів. Але підхід Мінцифри, коли замість персональної відповідальності чиновника за дані, замість невідворотності покарання й суворого обліку (хто, коли і з якої причини звертався до реєстрів), вони намагаються звалити все докупи й розмивають відповідальність. Що обов’язково призведе і призводить до масивних витоків”, – розповів Баранович.

За його словами, раніше навіть поліція не могла безпосередньо звертатися до даних, навіть до своїх власних.

“Поліцейський писав запит і в ньому вказував причину. Залишався паперовий слід. Зараз же Мінцифра в своїй святій простоті намагається все об’єднати, значить, до даних можна звертатися безконтрольно з мінімальним ризиком”, – додав хактивіст.

Він також повідомив, що далеко не скрізь фіксується, хто саме з тих, хто має легальний доступ до інформації, звертався за даними щодо тієї чи іншої особи, а ризик для нечистого на руку чиновника мінімальний.

“Головне – ризик для злодійкуватого чиновника мінімальний, а даних усе більше й більше”, – додав Андрій Баранович.

Він також вважає, що Федоров, заявляючи про неможливість витоку з “Дії”, не має рації.

“Дія” – свого роду прошарок між користувачем і реєстрами, якщо хтось зламає сервер “Дії”, то він отримає безпосередній і безконтрольний доступ до реєстрів. Тож міністр не має рації, це цілком можливо. Вони можуть навіть не знати про це. Як сказав сам Федоров, “роль кібербезпеки перебільшена”. Українські ресурси переважно захищені погано, і ніякої свідомої політики, спрямованої на безпеку й захист даних, в Україні немає”, – заявив співзасновник “Українського кіберальянсу”.

Хто відповість?

У Міністерстві цифрової трансформації вже заявили, що Служба безпеки України проводить слідчі дії. Однак в СБУ не змогли повідомити OBOZREVATEL подробиці. Неофіційно розповіли: “Наші поки не в курсі, що проводять розслідування. Поки з’ясовуємо, що і як”.

Тим часом варто усвідомити: спроба перевірити себе в нелегальній базі даних допомагає злочинцям верифікувати вашу персональну інформацію й зібрати відсутню. Тому “експериментувати” точно не варто.

Станом на 12 травня (14:10) з’явилася інформація, що через підвищене навантаження бот тимчасово недоступний.