У мережу «злили» 53 млн записів про персональні дані українців: чи варто панікувати (UPD)

В інтернеті виявили базу даних жителів України, що може містити майже 53 мільйони записів про персональні дані, повідомили в офісі Уповноваженого Верховної Ради з прав людини. Експерт із кібербезпеки пояснив DOU, чим це загрожує громадянам і як діяти в таких ситуаціях.

Що сталося

Зокрема, на одному із веб-сайтів Офіс омбудсмена виявив базу даних жителів України, що може містити персональні дані: ПІБ, дату народження, номер телефону, населений пункт, вулицю, номер будинка та квартири.

Згідно з інформацією, опублікованій на зазначеному сайті, в базі може міститись майже 53 млн записів.

У зв’язку з цим омбудсмен направив до Національної поліції лист щодо внесення відомостей до Єдиного реєстру досудових розслідувань та вжиття відповідних заходів реагування.

Як діяти потерпілим

За словами експерта з кібербезпеки, одного із засновників компанії Berezha Security Володимира Стирана, це стається не вперше в Україні, і, на його думку, ставатиметься і в майбутньому.

«Оприлюднення всіх персональних даних — невідворотний процес. Нічого хорошого в цьому немає, але й панікувати не варто», — зазначив він у коментарі для DOU.

При цьому Стиран розповів, що можна зробити громадянам, які постраждали від кіберзлочинців.

«Ускладнити процес використання цих даних вам на шкоду. Не використовуйте свої персональні дані в якості паролів та їхніх складових. Скрізь ввімкніть другий фактор автентифікації. Забороніть відновлення SIM-карти вашого „фінансового номера“ через службу підтримки мобільного оператора (можливо доведеться перейти на контракт)», — порадив експерт.

Він також закликав не виконувати дій на запит неперевірених осіб та компаній, «навіть якщо вони представляються вашим банком, мобільним оператором, податковою тощо».

Що позитивного

Водночас Стиран бачить позитивний момент у тому, що держава почала реагувати на такі випадки.

«З іншого боку, дуже добре що держава нарешті якось реагує на такі інциденти. Мені власноруч колись доводилось змушувати нідерландську поліцію закривати веб-сайт, на якому було виявлено схожу базу даних. Більше того, вона була майже повністю проіндексована Гуглом, тому і з ними довелося попрацювати. І все це години спілкування та вмовляння, відірвані від роботи. А тепер щось заворушилося в госусі — ну ок, нарешті дочекалися», — резюмував він.

Виявилася старою базою

Тим часом один із київських Telegram-каналів провів власне дослідження, звідки могла з’явитися нова база даних.

«Намагалися зрозуміти, про який масив сир-бор, адже останнім часом нічого подібного на просторах Інтернету не з’являлося. Можливо, омбудсмен проникнув в які-небудь хащі даркнету і виловив приватний лік? Чи в черговий раз найкращі спеціалісти з кібербезпеки зламали „Дію“, випотрошили її, отримали дані про наших співгромадян, їхніх кішок і собачок, попугайчиків і хом’ячків, оформлюючи попутно на них кредити в „Швидкогроші“? Ні», — йдеться в пості.

Порівнявши перегляд полів, кількість записів та іншу інформацію, стало очевидним, що цей «злив» насправді є вже давно діючим сайтом Nomer.Org, який містив застарілу базу фізичних осіб України.

«Цей номер.орг з базою фізосіб України за незрозуміло який рік, коли ще була офіційна підтримка Віндовс ХР, долар був по вісім, а деякі со-оунери цього каналу були ще дрібними кардерами», — підкреслили інтернет-дослідники.

Відомо, що нині сайт Nomer.Org не доступний на території України, навіть за допомогою VPN -сервісів. Однак переглянути інформацію, яка на ньому міститься, можна за допомогою сервісів архівування, як, наприклад, Wayback Machine.

👍НравитсяПонравилось2
В избранноеВ избранном1
LinkedIn
Допустимые теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Допустимые теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

Чекаймо, коли під соусом новітньої вигадки під назвою «захист персональних даних» почнуть вилучати й спалювати старі паперові телефонні довідники?

Пишуть що це таки nomer . org 20 річної давності)

«находка украинских чиновников — „это то же самое, что какой-то бы политик сейчас сказал, что МММ и Мавроди зло и нужно начать расследование“.»

prozorro.sale/...​UA-PS-2021-08-16-000081-2 — линк для примера
открываем прозоро продажи, фильтр по завершенным аукционам малой приватизации имеем фио, телефон, скан паспорта, скан инн, скан банковских документов — есть все необходимое для кредита в микрофинансовых организациях

законодательно требования публиковать персональные данные в открытый доступ не существует

для того чтобы легализовать выток существует внутренний приказ подписаный директором ДП
Соболевым Алексеем
drive.google.com/...​Bn4Rh6j1mFBfVm_O-B16/view
линк взят отсюда
info.prozorro.sale/...​menty-dp-prozorroprodazhi

В теории от недавно можно попросить документы скрыть, но по умолчанию они будут скомпроментированы, а потом так и быть некоторые скроют

эти же доки собирают, обрабатывают и шарют многочисленные боты и посредники

переписка с дп идет более двух лет, за это время появилась возможность документы скрывать по запросу

написание бота который стянет все доки и разложит по именным папкам, а после автоматически закинет запросы в микрофинансовые организации к сожалению может не быть большой технической проблемой если моральная сторона вопроса не остановит...
а потом эти же люди могут быть обработаны мошенниками из «банков» — банк емитент известен, фио, инн и номер также...

реакции ноль :(

напишите про эту проблему в новостях, может как раз у кого-то сердечко екнет и проблему решат нормально, а не ректально как сейчас

если интересен факт игнорирования проблемы могу предоставить могу переписку за 2 года

к слову в офис омбудсмена я так же обращался, и мне сказали пока нет личного ущерба (пока меня на деньги не кинут наверное), никто жалобу рассматривать не будет

ответ от профильного министерства у меня тоже имеется — они не разобрались в ситуации и отморозились

Я бы не скрывал, иначе как бы я узнал что 21летние ребята покупают ЛЭП, Єрмоленко Вероніка Сергіївна #3674602107
prozorro.sale/...​UA-PS-2021-06-14-000049-2

А что ты делал в свои 21годиков?

если это фунт, то какая разница сколько ему лет, а если реальный участник, то он может попытаться скрыть информацию через запрос но мошенники ее получат, а вы не увидите

если это фунт, то какая разница сколько ему лет

Да, это фунт. Который орудует только 71630, 71635
Еще один аукцион с ним:
prozorro.sale/...​/LLE001-UA-20210601-79515

а если реальный участник

Часть участников аукциона вообще без документов, и все норм.

если это фунт, то что прояснила вам доступная информация?
почему ее нельзя получать в приемлемом виде для аналитики, а не в виде сканов?
участник без доков не может выиграть аукцион и может быть нужен только как фиктивная вторая сторона, но опять таки почему посредники пропускают участников без доков?
меня например без доков не пропускают, но я могу принять участие от имени известного участника — нужные доки у всех на виду.
почему нет верификации по стороне дп? зато есть компрометация!
когда в Украине заработает RODO, ДП выплатит из бюджета не кислые компенсации участникам этих аукционов. А бюджет это то чего вечно не хватает на зп, дороги, медицину...

До недавно эта халатность была безымянной, но Алексей Соболев без сомнений подписал незаконное распоряжение и теперь единолично отвечает за милионные убытки государства в недалеком будущем

если это фунт, то что прояснила вам доступная информация?

Мне как гражданину — почти ничего. Как журналисту — направление копать для сбора инфы может и до ДБР дойдет.

почему ее нельзя получать в приемлемом виде для аналитики, а не в виде сканов?

Скан дает возможность удостовериться в документах. Да паспорт инн по цифровой подписи подтвердить можно.. А вот сканы заяв актов и тд как преобразовать для аналитики?

участник без доков не может выиграть аукцион

prozorro.sale/...​/GFD001-UA-20210325-82437
prozorro.sale/...​UA-EA-2020-12-15-000003-b
prozorro.sale/...​UA-EA-2021-01-21-000002-b

но опять таки почему посредники пропускают участников без доков

корррупция

если вы журналист, то имея доступ к цифровой информации вы можете выбрать все аукционы для участников моложе 25 лет, тех которые принимают участие десятки раз, но не выигрывают не делая ни единой ставки итд.

имея доступ к базе и нормальных записях в этой базе это делается простыми запросами

далее если хотите проверить теорию, логинитесь на сайте через bankid или через diiya и получаете необходимые доки на которых должна быть защита — поверх доков должны накладываться надписи в виде #аукциона
для получения доков каждый раз должна проходить авторизация
если кто-то вытягивает сотни доков дп должно блочить таких пользователей в виде 10 запросов в день или около того

технически эти задачи решаются сотни раз в день во все мире

юридически слив не разрешен, иначе не существовало бы приказа #33 о котором была речь выше. А приказ #33 выдает полномочия за рамками закона.
Приблизительно как МВД разрешило самим себе раздавать оружие.

С тем же успехом можно создать ГО, выпустить внутрений приказ разрешающий избиения прохожих на центральной площади розгами в рамках не превышающих легкие телесные...

в заявах ничего интересного особо нет кроме фио и подписи, которые можно блюрить но то такое
про заявы я ничего не писал

С тем же успехом можно создать ГО, выпустить внутрений приказ разрешающий избиения прохожих на центральной площади розгами в рамках не превышающих легкие телесные

НАБУ можно, мне можно, всем можно

Вроде в НАБУ, при входе видел надпись: Вы находитесь на территории с особым статусом. Своя земля, своя территория, свой царёк.

Эта база была и 10, и 20 лет назад в сети... А ещё раньше, в доинтернетную эпоху, её можно было купить на CD на Петровке. Слив произошел в 90-е — начале нулевых. БД ГАИ того времени тоже есть...

Конкретно на nomer.org и его реинкарнациях лежит емнип база ДРФО 2006 года, это прям секрет Полишинеля, она у всех безопасников есть и ей сто лет в обед

Ага. Если и прикроют её, то ничего это не поменяет: эта база уже есть у тех, кому она нужна.

И какая от нее польза? От слитой пару лет назад базы НП больше толку...

Помню о ней мне реально рассказали в 2007 по секрету)

так) я тоді навчався в академії у Ірпіні (лютий 2006 року) — приїхав купити пару книжок — а мені відразу — налогова база на СіДі апдейт за січень цього року, база з міліції на СіДі за грудень... тому нічого такого нового не почув

вроде бы как раньше, до всеобщей жижитализации, не было столь частых сливов столь большого количества людей. это на моей памяти. могу ошибаться.

*стоп. 53 млн?? у нас даже людей столько нету..

Если 90-е годы после всеобщей дижитализации, то нет, не было. А в 90-е вполне можно было купить CD с такой базой. А в той базе, что можно найти в сети, данные как минимум 15-летней давности.

Якщо щось не набувало широкого розголосу, то це не означає, що цього не було.

Узнать адрес и телефон человека по его ФИО можно и через Гугл. Все быстро находится и есть бесплатный сайт для этого

Только если адрес человек менял за последние 15 лет, его уже не найти. Ну и телефон там указан стационарный, не мобильный. Кто сейчас пользуется стационарной телефонией?

если бы ахметотелеком не положил на это дело — пользовалось бы больше

База там лежит уже почти 20 лет без изменений.

itc.ua/...​ti-nemnogo-preuvelichena

«Глава Минцифры: „Роль кибербезопасности немного преувеличена“»

Да какая тут кибербезопасность когда гораздо быстрее и дешевле получить данные используя социальную инженерию. Все эти базы (непонятной давности) слиты людьми за $$ (прикрываясь «государство платит нищенскую зарплату а жить же как-то надо»), которые имели к ним доступ. Можешь сколь угодно вкладывать в безопасность, но все-равно найдется какой-нибудь Вася или Марина Инваана которые сольют.

Тут надо уголовную ответственность вводить, проводить расследования кто слил, сажать.

когда гораздо быстрее и дешевле получить данные используя социальную инженерию

OSINT

Подписаться на комментарии