⚡️Хакери стверджують що злили персональні дані 2 мільонів користувачів застосунку «Дія» та продають їх за 15 000$⚡️

⚡️⚡️⚡️
Користувач ДОУ розробив сайт на якому ви можете перевірити наявність та автентичність своїх даних по семплу:

haveiindb.xyz/check.html

Для того щоб переконатися що ваші дані були скомпрометовані, потрібно:
1. Залогінитися на веб-портал Дія my.diia.gov.ua
2. У консолі браузеру (F12) набрати код JSON.parse(atob(localStorage.getItem('token').split('.')[1])).userId Цей код подивиться у ваш локал сторедж та надрукує ваш user Id який видав веб-портал Дії.
3. Скопіювати та вставити цей код на сайт
4. Якщо по вам буде знайдена інформація—вона відобразиться, частково затерта.

Таким чином кожен бажаючий може власноруч переконатися чи є він в базі чи немає а також переслати це знайомим.

Важливо! user Id який видає Дія навряд чи є секретною або персональною інформацією яка може вас скомпрометувати. Я не є автором сайту та не несу відповідальність за його функціонування. Не довіряйте нікому в інтернеті.

⚡️⚡️⚡️Один з користувачів форуму написав мені що він знайшов себе у семплі та перевірив ID з тим що видає аппка Дії. ID збігся, тому в нас є серйозні підстави вважати що дані справжні! Також він додав що дата created_at співпадає з датою коли він вперше скористався сайтом Дії!

⚡️⚡️⚡️Користувач ДОУ розробив web-інтерфейс до бази де ви можете перевірити чи були ваші дані скомпрометовані: haveiindb.xyz !!! пошук працює тільки по семплу із 100 000 користувачів !!!

⚡️⚡️⚡️Судячи з всього, в дампі знаходиться база сайту diia.gov.ua. Один із користувачів написав мені у ЛС та розповів що Дію на телефон він ніколи не ставив, але користувався веб-інтерфейсом де вводив всі дані. Відповідно, вони збігаються.

Як перевірити чи дані справжні якщо ви знайшли себе у базі.

На форумі RAID продають дані нібито зкачані з «Дії»:

Ukrainian Leaks — 2022: diia.gov.ua — Users 2M

Таблицю з е-мейлом, ІПН, телефоном, даними паспорту або картки, адресою реєстрації, даними закороднного паспорту, та іншим — 2.5 мільйони записів.

Фото документів — 13.5 мільонів записів.

Ще документи — 4.1 мільони записів.

До кожного датасету є вибірковий семпл.

Я скачав семпл 100 000 записів. Дуже схоже на правду. Себе не знайшов.

В базі є паспорти видані після 2020 року, наприклад такий: «КС 891XXX 2021-04-27 Кам’янка-Бузьким сектором Буського МРВ ГУДМС України у Львівській області». Отже якщо це дійсно база Дії, то заяви мінцифри про провокацію та фейк—ймовірно не відповідають дійсності. Нижче наведені кілька запитів які показують що в базі є багато даних внесених після 2019 року.

В наступному батчі хакери обіцяють дані з таких порталів як health.mia.software, minregion.gov.ua, wanted.mvs.gov.ua, e-driver.hsc.gov.ua, court.gov.ua

Чи справді це автентична база «Дії»?

upd1: Мені надіслали скріншот на якому інший користувач форуму стверджує що ці дані не з Дії, а з якогось з українських банків. В базі є декілька колонок, такі як: «avaUrl», «role», «useTwoFactorAuth», «userIdentificationType», «needOnboarding», «onboardingTaskId» які за змістом не дуже підходять до того що ми бачимо в дії (там немає двофакторної авторизації) всі ці поля є в JSON який повертає веб-портал Дія. Інформація про те що база з банку—неправда.

upd2: Один з користувачів форуму написав мені що він знайшов себе у семплі та перевірив ID з тим що видає аппка Дії. ID збігся, тому в нас є серйозні підстави вважати що дані справжні!

upd3: Ще декілька користувачів підтвердили що ID з Дії співпадає з наявним у базі, а їх персональні дані коректні!

Невеличкий аналіз семплу

Які дані злиті?

  • емейл
  • номер телефону
  • ПІБ
  • ІПН
  • дата народження
  • стать
  • чи є людина ФОПом
  • адреса реєстрації, чи є адреса приватним будинком
  • паспорті дані: серія, номер, дата видачі, орган що видав
  • дані ІД-картки: номер, дата видачі, номер органу що видав, термін придатності
  • дані закордонного паспорту: серія та номер, номер органу що видав, термін придатності

Думаю що шахраїв будуть в першу чергу цікавити номери телефонів та паспортні дані. Не так давно я телефонував до УкрСибБанку і для верифікації в мене замість коду-пароля запитали лише паспортні дані. Не впевнений що з цим можна зробити але поле для атак повинно бути широким.

Я загнав базу в локальний постгрес та зробив декілька запитів:

Розподіл людей по датам народження

select extract(year from birthday) as yyyy,
       count(*)
from users
where birthday is not null
group by 1
order by 1 desc

Видно що є свіжі дані:

2007,11
2006,20
2005,59
2004,156
2003,500
2002,784
2001,967
2000,1352
1999,1423
1998,1766
1997,1893
1996,1987
1995,2032
1994,2219
1993,2258
1992,2477
1991,2466
1990,2566

Розподіл виданих ід-карток по рокам:

select extract(year from id_card_issue_date) as yyyy,
       count(*)
from users
where users.id_card_issue_date is not null
group by 1
order by 1 desc;

2021,3450
2020,3016
2019,3909
2018,3297
2017,2178
2016,850

Кажете, «дані із старих джерел»?

Розподіл виданих паспортів по рокам:

select extract(year from passport_issue_date) as yyyy,
       count(*)
from users
where users.passport_issue_date is not null
group by 1
order by 1 desc;

2021,63
2020,72
2019,39
2018,96
2017,219
2016,1777
2015,2876
2014,3024
2013,2826
2012,2462
2011,2352
2010,1952

Видно що паспорти перестали видавати після 2016, коли запровадили ID-картки. Записи за пізніші роки—то ймовірно перевипуск.

Щодо ФОП:

Багато людей пишуть ніби то це база даних ФОПів, які є у відкритому доступі. В цій базі за «ФОП» відповідає пара колонок: «isIndividualEntrepreneur» та ЄДРПОУ. Кількість людей з ФОПами у семплі складає приблизно 3%:

select "isIndividualEntrepreneur", count(*)
from users
group by "isIndividualEntrepreneur"

false,96451
true,3549

Але навіть якщо б там усі були ФОПами, то звідки в базі серії та номери паспортів ті інші дані? Ця інформація не є відкритою.

Як захиститись від оформлення кредиту

Інфу надіслала мені в ЛС людина яка спілкувалась з саппортом УБКІ, сам не перевіряв, пересилаю як є:

1 опція. Написати письмову заяву на те щоб тебе занесли в стоп лист. Такої можливості нема. Вони не приймають письмові заяви
2 опція. Зареєструвати загублений паспорт www.ubki.ua/lost-passport-ua. При перевірці кредитної історіі буде сповіщення «УВАГА! Клієнт повідомив про втрату паспорта. Високий ризик шахрайства!». Але це загалом не є причиною в відмовленні видачі кредиту.
3 опція. Оплатити «Статус контроль» (500 грн) www.ubki.ua/statuskontrol-ua. І включити опцію FREEZE. В цьому випадку вам будуть приходити сповіщення що вашу кредитну історію хтось дивиться. І їм буде відображатися повідомлення що ви не бажаєте кредитуватися.

АЛЕ! Це важливо! Ви не зможете скористатися опціями 2,3 якщо в вас нема кредитної історії. Ви ніколи не користувалися кредитами.

That’s all folks!

p.s.: долучайтеся до мого телеграму: t.me/daily_rozhok

p.p.s.: в мене є ще один телеграм канал але швидш за все ви вже на нього підписані :) t.me/full_of_hatred

👍ПодобаєтьсяСподобалось16
До обраногоВ обраному5
LinkedIn

Найкращі коментарі пропустити

Як в радянському союзі: замість того що визнати помилки, витік та вжити заходів будуть казати що те все провокація-компіляція та ніякого зламу не було.

Брехати можна, але врешті-решт правда спливе.

Аргументи ботів та фанів Федоріва:
«Ця база скомпільована з даних які були злиті 2019 року» — ❌ брехня, в дампі є дані за 2021
«Це база ФОПів з відкритих даних» — ❌ брехня, ФОПів у семплі лише 3%, також в семплі є паспортні дані які відсутні в рєестрів ФОПів
«Ця база не з Дії, а з реєстрів» — ❌ брехня, в базі первинним ключем є унікальний ідентифікатор який співпадає з ідентифікатором що видає портал Дія при логіні що підтвердили вже як мінімум п’ять людей.
«Там фото котиків» — ❌ і що? Це нічого не доводить але й нічого не спростовує.
«Це російська провокація» — даруйте, ми зараз будь-які провтики влади будемо пояснювати «російською провокацією»? Яким чином провокація це чи не провокація впливає на те що ціла купа автентичних даних була вкрадена з нібито захищених державних джерел?

Насправді немає значення чи ця база з Дії, чи ця база злита з дотичної аплікації. Наші претензії не до розробників Дії, а до абсолютно безвідповідального ставлення Мінцифри до безпеки в цілому.
Замість того щоб визнати помилки вони сцяють нам в очі у кращих традиціях кацапської пропаганди.

та продають їх за 15 000$

Можно сэкономить на бакапах, а если что-то навернётся, купить у хакеров.

«Роль кибербезопасности..»
Не, все, я устал от этой херни, дошутите сами.

Запрягайте, хлопці, трахтури. Вот, к чему я веду.

Ніхто так не зіпсує хорошу ідею цифрового документообігу, як дурні, які активно беруться її реалізувати.

Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

Всіх вітаю, freecivilian публічно виклав вже повну базу з Дії, 765 ГБ. Правда, конкретні лінки на скачування наразі не працюють. Але поки що я йому чомусь вірю.

«Международные хакеры не нашли критических уязвимостей в „Дии“» (c) Федоров

Cреди заявок:

42 было отклонено из-за несоответствия требованиям Вug Вounty,
10 заявок носили информационный характер,
7 дубликатов и всего 7 отвечали критериям.

Если показывает только укр паспорт и ИНН это значит что только они вы выборке этой базы? Или там все гораздо обширнее? У кого еще выдает какие документы? Email у меня почему то не показывает

Родичі повідомляють що почав йти спам на емейл.
Три з одиннацяти адресатів спам листа б’ються в семпловій базі.

П’ятниця, 22:30, телеканал Прямий Буде мій коментар сприводу даних моїх неповнолітніх родичів.
старався щоб було просто і зрозуміло

Ребята, кто в теме: опишите возможные сценарии «зловживань» слитыми данными, помимо оформления левых кредитов. Что с переоформлением имущества (движ/невдиж), с доверенностями, дарственными и т.п.? Какие рычаги есть у «плохих дядей», что им доступно?

Скам, наводки...Нормальное учреждение без идентификации вас как владельца сканов паспорта\ИПН ничего переоформлять не должно. И даже кредиты выдавать не должно, потому что иначе бы уже на всех так пооформляли.

Блинский я тоже есть, данные паспорта и ипн до этого точно нигде не терял... Фопа нет, просто загран и права использовал и Е малятко

веб-версією користувалися чи лише додатком?

Е малятко насколько помню в январе прошлого года только через веб было. В саму дию только через приложение. Но дело ещё вот в чем, я вижу ИНН и укр паспорт который у меня книжка и которого в дие нет. У меня там тех паспорт, права, загран и детские документы и документы на землю. Фопа нет. Через портал сверху показало ФИО и закрашенные данные паспорта и инн

Пожалуйста если нужно будет что то ещё пинганите в комментариях, помогу

> укр паспорт который у меня книжка и которого в дие нет

В додатку нема, на порталі є.

Мого id немає. Був зареєстрований майже в одразу. Але практично Дією не користувався. Так, для галочки. Не ФОП, нерухомості не зареєстровано, ділянок не зареєстровано, в армії не служив, і тд. Нецікава я людина видно.

BankID користувався. Закордонний паспорт є, але звичайного біометричного нема.

Цікаво було б подивитися повну базу.

Нецікава я людина видно.

Мого теж немає (а шкода).

Ми просто не попали у вибірку, там ж не все.

выложили не полный дамп, если сильно хочешь то за 80к долларов может перекупить его и проверить если ты в тех данные которые не публиквали

Хтось знає на яких мовах програмування пише сам пан Федорів. Схоже, що ні на яких.

Дав коментар прямому. має бути сьогодні.

Тим часом заступник Федорова, Вискуб:

Коментатор: в злитому дампі знайшли дані хлопця, якому зараз 14.5 років, а паспорт він отримав лише в серпні 2021 року. Але дані звичайно ж скомпільовані, нема сенсу не вірити такій поважній людині 🤣🤣🤣
Олексій Вискуб: ні, не знайшли

🗿🗿🗿

Здається, це новий віраж на дорозі «вивсьоврьоті», «зливу не було», «злив був, але до 2019 (клятий Порошенкер)».

нічо,
я дав коментарі по цьому кейсу вже кільком змі.

тис часом я знайшов ще одного знайомого там

Не может быть, Вискуб не видит, и не находит, это все компиляции, зрада, и гибридная война!!

Мне интересно Вискуб на столько твердолобый или ему доплачивают, за то что он делает вид, дибила?

орієнтуватись на вискуба себе не поважати.

От меня это сарказм был если что )

Ёжик занимается аутотренингом: я не хочу срать, я не хочу срать, я не обосрался, я не обосрался

Мені здається що я вчора бачив Ваш комент у Вискуба не тільки в гілці відповіді до Горбачевського, але і просто у відповідях, а сьогодні його немає. Це Ви самі видалили коментар чи Вискуб підчищає?

Вискуб забанив після коментарів про неповнолітнього хлопця в БД, що отримав паспорт в 2021 (Вискуб каже, що злив «стався до 2019», видно щоб скинути на папєрєдніков).
А, ну і ще я написав, що Дія.Підпис не має КСЗІ, це офіційна відповідь ДССЗЗІ (пруф).

Не всі коментарі видалив одразу, тож якийсь час там навіть висіла відповідь Шона Таунсенда)

Можете подивитись історію тут: t.me/cor_bee/557

Наразі я в бані у одного міністра Мінцифри і двох заступників міністра Мінцифри.

Під час роботи в банку зустрічав в базі клієнта, котрому ще не було 16, однак паспорт був виданий. Запис потрапив на очі через те, що працювали над перевірками валідності паспортів і цей кейс був одним із найпростіших. Так до слова, паспорт було видано в Закарпатській області, котра була серед працівників банку особливо на слуху через те, що «там за гроші і не таке вам зроблять».

Взагалі то паспорт видають з 14 років, у 18 заміна

Мммм, ок це було в період з 2011 по 2014, можливо тоді ще не впровадили ID картки, а старі паперові паспорти-книжечки тоді ще видавали лише з 16 років...

id почали видавати з 14 років 1 жовтня 2016 року

По базі навіть це видно.

а какой адрес форума с новой продажей?

А можна трози детальніше про

www.ubki.ua/statuskontrol-ua.

 і звіідки у них доступ до кредитного реєстру і чи існує апі і таке інше. Дякую.

Откуда у кредитного бюро ведущего кредитный реестр доступ к кредитному реестру который они же сами и ведут?

Для справки: если память не подводит у нас четыре кредитных бюро, у каждого свой кредитный реестр. Есть закон о кредитных бюро, там всё это расписано.
zakon.rada.gov.ua/laws/show/2704-15#Text

так якщо реєстри 4 — то до якого з них пропонується страховка, до одного?

это всё коммерческие конторы, никакой страховки нет, шо не понятно

Да. И это вообще не страховка, а так .... самоуспокоение.

Я б не тратил на это ни время, ни деньги.

Саме так... УБКІ пропонує за абонплату 500 грн на рік набір фіч, серед них — stop list при звертанні кредитних організацій. Однак абонплата покриває послуги лише одного УБКІ, а щодо інших — теоретично потрібно також платити схожу абонплату. Отже, чотири кредитних бюро: ~500×4 = ~2к грн. на рік .....

я ререєструвався в першій всеукраїнській кредитній спілці.
там є тільки моніторинг, стоп ліста чи фрізу немає ((

Знайшов свого знайомого в вибірці але немає даних про закордонний паспорт.
І він каже якщо б то було з дії то паспорт по ідеї мав там би бути також.

В яких випадках закордонний паспорт прив’язується?

Біометричний паспорт тільки

в вибірці але немає даних про закордонний паспорт.

Якщо зайти на веб-портал Дія то мені вона теж не віддає закордонний паспорт.

Треба перевіряти userId.

Раджу пройтись по логам комітів в злитому e-driver.hsc.gov.ua, після цього ± стане зрозуміло які дев практики використовуються при розробці державних сервісів.

не работает ссылка

(Прочитав тут все) ніхто часом не дивився, що за сертифікати в тих дампах? Наче публічні, але не можу впевнено судити.
Бо якщо потекли закриті, то це триндець більший за все решту.

я сразу все свои сертификаты заблокировал и создал новые, чего и вам советую

Це можна було робити відразу після використання їх на веб-порталі Дії, бо після цього розповсюдження закритого ключа і паролю проконтролювати вже неможливо. Але у мене не в тому питання.

как и где это сделать?

Там, де ви їх робили. Чи податкова, чи Приват, чи ще щось.

дяки, а Дія.Підпис якось можливо скасувати?

Не чув про таке, з цим мабуть варто сюди: facebook.com/diia.gov.ua

Про які сертифікати йдеться?

Ті що в diia_filestorage_live_table_signatures.sql

У мене те ж питання. Схоже що навіть якщо це ключі користувачів, то публічні, але цікавить чи ще хтось на це дивився.

Бачу там тільки про сертифікати на домен hsc.gov.ua. Я про ті, що нібито з Дії, в diia_filestorage_live_table_signatures.sql

Плюнул бы на лицо тому кто это разрабатывал:) Особенно сикреты в коде порадовали. Даже самая тупая собака которая первый раз в жизни питон видит — задумается куда спрятать сенсетив инфу.

Сертификаты в файлах изначально стремные были, т.к. все сайты требуют пароль. Что им мешает логировать все сертификаты и пароли к ним? Сразу перешел на USB токен. Но в целом у нас с цифровой подписью полная профанация. Что это за ПРИВАТНАЯ подпись, когда ты отдаешь пароль от нее сайту???

А еще я уверен 99% используют приватный ключ сгенеренный каким-то сервисом... Для получения USB токена брал ноут и генерил ключи там, отключив и-нет. В чистой виртуалке, которая потом была удалена. Сотрудники центра СЕРТИФИКАЦИИ были крайне удивлены, и по их поведению я понял, что у нас все хуже, чем я предполагал.

А для пользования USB токеном ставится приложение, которое тоже не понятно какие имеет бек-доры. Но вроде в логах из браузера отправляется только публичная подпись, но что там еще может слать приложение и куда — никто не знает... Так что у нас это просто какая-то имитация для организации правильных цифровых «выборов».

Токен лучше, но вопрос «а что реально только что было подписано?» не убирает.
Должна быть возможность подписать что надо локально оффлайн, и потом залить подписанное куда надо. Если по-хорошему :(

Багато років тому існувала така платіжна система WebMoney, може й зараз є, яка пишалася своїми суперскладними шифруваннями й обфускаціями, ну, принаймні, вони так казали. Але на практиці ніхто їх шифрування не ламав, атаку на клієнт здійснювали по дитячому: при переводі грошей підміняли гаманець та суму. От і все. Тож так, це не теоретизування, а абсолютно реалістичний сценарій.

Я про те саме. Правильного варіанту у нас не реалізував ніхто.

Только что со мной на связь вышел один из тех, у кого паспорт был выдан в 2021 году, а в Дии зарегистрировался в декабре 2020.

Он прислал мне скриншоты выполнения скрипта на сайте Дии.

И id... совпадает с тем что в БД.

Человек пользовался до этого и веб версией и приложением.

Тут не хватает картинок, иначе прикрепил бы Тони.
memepedia.ru/...​2017/04/52e53163b6484.jpg

memepedia.ru
Це постить людина недавно зареєстрована, що збирає ваші дані через сайт для «перевірки» зливу

А Рожков розказує, що це ок

Замість того щоб шитпостити краще б підключився до аналізу. Поки що від тебе всю тему одне недолуге балабольство та жодної користі.

Я не займаюсь безпекою
Тим чим ви займаєтесь зараз — не є аналізом

Якщо вам так кортить бути популярним, то розповсюджуйте слова людей які розбираються в темі

Я не займаюсь

Все ясно, як завжди нічого конкретного ви не можете сказати, одні пустопоржні балачки.

Якщо вам так кортить бути популярним

...то я буду робити так як роблять ті хто вже є популярними а не так як мені радять пустослови з інтернету.

Так

Продовжуйте ігнорувати безпеку і йдіть до вашого омріяного успіху у зе команді

Удачі

сайт с домена .ru — а не шпион ли ты часом?
в наше время все .ruснявые сайты — моветон

«Никогда ещё Штирлиц не был так близко к провалу»

Зараз самий час піти до оператора мобільного зв"язку і зареєструвати сімку на свій паспорт. Зв"язок сімка-паспорт уже, рахуйте, публічна інформація, на вашу анонімність це ніяк не вплине.
А ось від сценаріїв шахрайства з використання дубліката сім-картки може вберегти. Це ж, по суті ключ до вагого інтернет банкінгу. Маючи всі злиті скани паспортів\ІПНів\виписок з рахунків скинути пароль на інтернет банкінг не так уже і складно буде.
У водафона це робиться через їх магазини (треба прийти з паспортом і ІПНом). Не знаю, як у інших.

Для того чтобы зарегать симку не надо никуда идти — для этого уже давно придуман BankID.

І як це вплине на перевипуск картки співробітником мережі?

Це можна зробити, але варто пам’ятати, що воно не є панацеєю. Так у кейсі «новорічний шахрайський кредит на співробітницю поліції», шахраї оформили на жертву кредитів в 20 тис. грн. перевипустивши її SIM-карту. Суд визнав дії мобільного оператора неправомірними, але присудив компенсувати жінці 10 тис. моральної шкоди, що не покриває навіть матеріальних збитків (потерпіла просила 20 тис. компенсації матеріальної та 50 тис. моральної шкоди).

Вся оця система зав’язана на SIM-карту, BankID та Дію — порочна, спеціалісти з кібербезпеки про це давно говорять, але навіть на цьому форумі знаходяться «роль кібербезпеки перебільшена».

хорошая идея, спасибо
а как думаете, есть ли смысл завести отдельный «финансовый» номер для этого? И его уже зарегать на свой паспорт

так є, тільки треба максимально його ніде не світити.
ні у реєстрі фоп, ні у інших місцях, тільки для банккінгу.

Банки самі його зіллють.

на этот случай была мысль менять его раз в год, для профилактики. отметить для этого какой-то день в году и в этот день ежегодно менять пароли, коды, почту и номер, которые используются для финансовых операций.

взагалі бісить ця хірня.
я знаю лише один банк де можна включити вхід по логін + пароль
і все одно 2 фактор буде на телефон приходити.
ЩО фактично прирівнюється до відсутності 2 фактору.

почитал на эту тему всякое, да, тоже понял что есть смысл, и чисто использовать как фин номер.
еще хочу проверить можно ли брать на себя сразу несколько номеров — например один личный, а один фин номер, который например менять каждый год как раз на случай всяких утечек. потому что я так понял привязка к паспорту не защитит но если он регулярно меняется и нигде не публикуется — будет сложно его переоформить) потому что надо ж как-то его узнать сначала.
Даже была мысль — может не стоит регистрировать фин номер на паспорт, чтоб даже оператор не знал чей это номер?)

Привязка номера симки к паспорту, например в Vodofone такое есть.
Смена симки только при личном присутствии с паспортом.

І у Київстару. Але найсмішніше що у Київстару можна прив’язати сімку до паспорта на... сайті. Просто зашибісь.

Тиждень тому дівчинка в магазині Київстар, воюючи з інтернетом, сказала що можна.

можна було колись. дві версії my.kyivstar.ua назад і три версії мобільної аплікухи тому.
Зараз тільки в магазинах.

Ще раз. Тиждень тому дівчинка консультант в магазині Київстар сказала що можна на сайті.

ще раз. щойно зайшов на сайт і кажу, що цей функціонал досі не повернули.
дівчина бреше, бо так написано на сайті в справці. але то застаріла на пару років інформація.

Це в усіх так. Причому прив’язати до паспорта можна і без підписання контракту, лишившись на передплаченому доступі, в певний момент це профільна Нацрада протягнула.

(е)Держава знає Ваш номер по паспорту і автоматично додає всі в Дію.

Так ніхто й не писав про зраду. Я про те, що універсальна тема, спустили зверху, а не фішка одного оператора

Ну це ОК. Не ОК обязалово.

Так вроде пока не ввели обязалово. Или я что-то пропустил и мы уже как в Польше будем бегать в офис и регать каждую симку?

То есть можно привязать только к паспорту, не обязательно контракт?

Да, можно привязать не только контракт. Я уже сделал такое.

Тут є й інша сторона медалі. Уявіть у вас увели основний номер і телефон вивалився з мережі. Скільки ви маєте часу заблокувати номер через оператора і повідомити банк про злам? А тепер порівняйте: увели номер, через який ви раз на тиждень заходите в клієнт-банк. Як швидко ви дізнаєтесь про злам та відреагуєте?

⚡️⚡️⚡️
Користувач ДОУ розробив сайт на якому ви можете перевірити наявність та автентичність своїх даних по семплу:

haveiindb.xyz/check.html

Для того щоб переконатися що ваші дані були скомпрометовані, потрібно:
1. Залогінитися на веб-портал Дія my.diia.gov.ua
2. У консолі браузеру (F12) набрати код

JSON.parse(atob(localStorage.getItem('token').split('.')[1])).userId
Цей код подивиться у ваш локал сторедж та надрукує ваш user Id який видав веб-портал Дії.
3. Скопіювати та вставити цей код на сайт
4. Якщо по вам буде знайдена інформація—вона відобразиться, частково затерта.

Таким чином кожен бажаючий може власноруч переконатися чи є він в базі чи немає а також переслати це знайомим.

Важливо! user Id який видає Дія навряд чи є секретною інформацією яка може вас скомпрометувати. Я не є автором сайту та не несу відповідальність за його функціонування. Не довіряйте нікому в інтернеті.

Шкода що мене немає у семплі (у повному дампі швидш за все я є). Тоді я би публічно заявив що мої дані там, вони коректні, токен співпадає. А так доводиться тільки довіряти іншим людям які кажуть що віднайшли себе або своїх знайомих.

Репостнул на ИТЦ и межу. Шансов мало, но может и разойдётся.

По идее наверное можно сделать плагин для браузеров который будет показывать то же самое запросом на haveubdb, как это делает плагин против Дия.Сити.

Это не безопасно и не вызовет доверия. А когда ты своими руками взял ID на сайте Дии, пошел на другой сайт, и он тебе по нему вернул твои данные — это самое достоверное доказательство того, что фраза «інформація щодо злому порталу „Дія“ не відповідає дійсності» — не відповідає дійсності!

Сайт вже не відкривається

УБКИ, хороший пиар-ход для бесплатной рекламы...

Я малолітнього родича знайшов. він точно не фоп.

запитаю чи користувався він додатком

перепитав. Він користувався виключно апкою дії

Круто. Теперь бы проверить от обратного: есть ли в дампе данные тех, у кого нету акка в дії?
Это могло бы быть аргуметом в защиту минДыры.

это не минцифры, это хакнули китсофт, Розробник — ТОВ «Комп’ютерні Інформаційні Технології»
контора монополист уже 10 лет в деле государственных порталов и сервисов, видать или сервер был один, или ssh_keys уехали

кстати это не первый раз у них, уже есть криминальное дело, ну клоунов это не остановило
opendatabot.ua/...​ff5e08567b1c3fbb1e053ebd4

В процесі досудового розслідування встановлено, що на замовлення державного підприємства ІНФОРМАЦІЙНІ СУДОВІ СИСТЕМИ (далі — ДП ІСС ) Державної судової адміністрації України за участі представників Дочірнього підприємством Е-Консалтинг (договори від 21.11.2018 № 21/11-2018-2 та від 05.03.2019 № 05/02-2019), ТОВ «ТРАНСЛІНК КОНСАЛТИНГ» (договір від 17.01.2019 № 17/01-2019), ТОВ Комп’ютерні інформаційні технології (договори від 27.11.2018 № 27/11-2018-1, від 27.11.2018 № 27/11-2018-2, № 11/02-2019 від 11.02.2019), ТОВ «ІНТЕЛЕКТ-СЕРВІС» (договори від 21.11.2018 № 21/11-2018-1, від 04.03.2019 № 04/03-2019) та інших була розроблена Єдина судова інформаційно-телекомунікаційна система (далі — ЄСІТС ).

Разом з тим, ЄСІТС не відповідає вимогам Закону України «Про захист інформації в інформаційно- телекомунікаційних системах», Постанови КМУ від 12.04.2002 № 522 Про затвердження порядку підключення до глобальних мереж передачі даних , НД ТЗІ 2.5-010-03 Вимоги до захисту інформації WEB-сторінки від несанкціонованого доступу затверджених Наказом ДСТСЗІ СБ України від 02.04.2003 № 33 та має чисельні уразливості для несанкціонованого доступу.

Вказані дії/бездіяльність відповідальних посадови осіб ДП ІСС Державної судової адміністрації (далі — ДСА) України по відношенню до забезпечення нормативно затверджених вимогам безпеки функціонування інформаційно-телекомунікаційних систем та ЄСІТС , призвели до блокування, знищення та виведення з ладу у період з 24.12.2018 по 25.01.2019 судової системи України.

это не минцифры, это хакнули китсофт, Розробник — ТОВ «Комп’ютерні Інформаційні Технології»

хакнуть\поломать это одно, а слить БД — это совсем другое

exactly, о чем разместивший объяву прямым текстом сообщает, далi буде
вот всё это добро web.archive.org/...​itsoft.kiev.ua/portfolio

МинДыра как организатор Дии несёт ответственность за данные которыми управляет её приложение. Даже если украденные данные принадлежат человеку который никогда не пользовался Дией.

там есть такое интересное поле — provider, на которое мало кто обращает внимания... со значениями: eds (единый державный реестр?), govid, или пусто. Какое у него там значение?

таки да. но вопрос тогда остается открытым, что за юзеры не eds/govid

Я перевірив дані які віддає веб-портал «Дія». Структура дуже схожа на те що є в третьому дампі який дав зловмисник. У мому випадку там була інформація яку я надав при реєстрації та відсутня інформація по ФОПу (хоча я очевидно є ФОПом).

Там є поле з датою. Він саме в той момент отримав посилку і показував дію. це здається останій раз коли він відривав її
виглядає ніби це «проміжна база»
якою користуються і портал і апка

А в якому році він ID картку отримав? Бо тут розповідають, що це стара база 2020-го року.

В базі є дані по 3449 людям які отримали ID картку 2021го року.

він один з них.

Але тут показово що він ніразу не користувався порталом. Лише аплікейшином.
Тобто взагалі не важливо це дія-портал чи дія-додаток.

Розпарсили токен з порталу

user id не співпадає з тим що в базі. він починається на 61ee
маю кілька думок.

1. Можливо айді по різному генерується на порталі і у базі.
2. можливо має пройти час щоб портал і апка засінкались. ДО сьогдні входів на портал не було.
3. можливо я щос не так роблю
4 можливо міняв алгоритм генерації jwt токена

1. Можливо айді по різному генерується на порталі і у базі.

Хм, цікаво, інші люди написали що в них id співпав.

user id не співпадає з тим що в базі. він починається на 61ee

Не співпадає взагалі чи частково?

повністю.
в дата сеті починається на 6140

так может он просто заапдейтился? типа сперва каким-то хреном запись попала в базу при работе с апкой ~ в cентябре 21 года судя по 6140, а потом при первом логине непосредственно уже на сайт дии обновилась?

ну или совсем странная идея, в том, что раз user_id всегда коррелируется с created_at, то это в базе новый аккаунт, раз у него user_id = 61ee

можливо в дії та порталі є певні розбіжності

created_at

в цих двох системах дійсно може бути різний.

Мені здається що хоча би 50% людей зі злитими даними є у соцмерехах. Як на мене треба таких людей інформувати про таке в той чи ніший спосіб. вони мають право знати про це.

Можна на е-мейли розіслати :) База ж є готова

Сподіваюсь, ніхто не сприйме це за пораду, а лише як жарт. Бо «органи» в нас працюють за специфічними алгоритмами. Отой чувак, що в ночі одним з перших побачив, що купа державних сайтів дефейснуті і звернувся до них, йому потім зранку дзвонили: «що ви хвилю підіймаєте, у нас тут генерали бігають всіх їбуть, зараз до вас приїдемо техніку ізимать»

розіслати можна і анонімно,
тут більше питання як це зробити так щоб спам фільтри емейл-провайдерів не спрацювали.

анонімно

І таке навіть в папку спам не потрапить

мне вот интересно — чувак выложил архив на почти терабайт данных. Это что получается — кто-то взломал систему и ЧАСАМИ (если не днями) выкачивал инфу с серверов дии и пр., а система безопасности никак не среагировала?!
Shame on you, вице-премьер и министр Министерства цифровой трансформации.

Ну так за інет ми з вами платимо ж.

І є версія що на флешці(HDD) хтось виніс.

є така вірогідність, але хочеться справжнього відкритого розслідування як так могло статися, а не щоб знайшли якогось цапа-відбувайла та посадили умовно

По хорошому министр должен бы был подать в отставку. Но он контроллирует всю ту ботву, которая пока еще держит останки рейтинга зеленского...

Ну это показать что заявление о том что, не волнуйтесь — не было утечки персональных данных, не более чем вранье. Вот нам продемонстрировали, взломано все и под чистую. К тому же там видимо все так плачевно что взламывается начинающим кулхацкером. Явно не делались ни penetration test ни security scan, разработчки не проходили тренингов и т.д. Полный и абсолютный провал.

Вполне вероятно, что скачивали часами. В целом это именно тот уровень раздолбайства в минцифре, который все мы ожидали. Не вижу причин удивляться.

Если есть в табл данные по последним визитам в дию, то можно узнать когда был выкачан дамп.
И если подозрения на кого-то из своих, то может это пролить свет

Ну ви ж читали знамените інтерв’ю «роль кібербезпеки перебільшена»? Там Федоров розповідає про безопасників, які до його приходу сиділи, якісь графіки показували, коротше, нічого не робили, а вони їх «звільнили і нічого не трапилось». Ну от на тих графіках з якими «нічого не трапилось» десь і пробігся той терабайт.

чувак выложил архив на почти терабайт данных

Де терабайт виклали?

Так данные заканчиваются серединой декабря. Вероятно, тогда их и выкачали (если это не бекап базы). А в январе — рекламная акция.

можливо як в епіцентрі комусь не виплатили зарплату)

Я не поленился, взял по запросу...

SELECT *
FROM users
WHERE id_card_issue_date >= ’2020-01-01’::date
ORDER BY birthday DESC NULLS LAST;

...рандомно нескольких людей, которые были в телеграме по указанному номеру, и у кого была ава реальная.

Написал им, и те, кто ответил в принципе — подтвердили, что паспортные данные их, и что Дией пользовались.

Это может сделать любой.
Какие-то сомнения в том, что взлом реален, после такого, еще есть у кого-то?
Особенно с учетом наличия в колонке userId id-шника который выдает в токене веб сайт Дии.....

Це просто капець.

Не оправдывая этот факап, но по факту у нас в стране какие только данные не гуляли открыто. Я помню открыл ФОП и понеслась корреспонденция на ящик с предложением взять кредит от банков. Сам я находил данные по номерам машин и по номерам телефонов. Т.е. этот взлом (кстати вопрос не вынес ли данные кто-то тупо на флешке за бабос) не сказать что из ряда вон выходящее скорее очередное напоминание сколько у нас мест где все кривое и косое.

Твой емейл в реестре ФОП — публичная информация. Потому пример вообще не в тему.

там всё публичная информация что заполняешь при регистрации

В бд users даже для ФОП есть инфа по паспортным данным. Это не публичная инфа.

И где бы вы достали эту публичную информацию которую я вообще говоря не просил налоговую передавать банкам в 2007-2008 году ?

Не очень понял вопрос.

Вот, пожалуйста, находится за пару секунд. Емейла нет, но телефон есть
x0.at/6FEA.png

Но! Такое есть только для ФОП и они сознательно дали согласие на это. Для обычных граждан такой базы нет, более того такие данные считаются ПД и охраняются законом.

Ничего такого в 2007 и 2008 и близко не существовало, а именно тогда банки начали меня спамить предложениями о кредите.

Ну не зовсім. По email не знайдеш інформацію, тільки по ІПН/ПІБ/паспорту — usr.minjust.gov.ua/content/free-search

А з такою базою можна витягти всіх ФОПів по Україні/району/місту.

Я тут передивився кілька десятків тисяч фото з архіву.

Теза «там же є фото котиків» це повний булшіт. Невалідних фоток там практично нема. буквально на початку архіву є кілька копій картинки з hello kitty і це майже все.

99.99% це фото трудових, дипломів, паспортів, та різних сертифікатів з навчання, які часто просить центр зайнятості. (якщо пройти курси і написати бізнес план то центр зайнятості може дати всю допомогу по безробіттю за раз на старт власної справи)

Ще смішними є фото трудової де люди фоткали просто обкладинку де крім герба нічого і нема.(люди дуже буквально сприйняли «зробіть фото трудової»)

Загалом я навіть здивований що там так мало «сміття». Хто хоч раз з непідготовленими людьми стикався знає що навіть зробити і відіслати фото по вайберу може заняти кілька годин.

первые то тестировали, если пошевелить мозгами

я думаю просто люди що погано вміють користуватись телефоном тому інколи вибирають щось не те з фоток чи фотографують не те що треба.
ну реально випадкових максимум 1-2 фотки на тисячу документів

ТРЕБА врахувати що користувачі що взяли перший раз у руки смартфон майже не вміють ним користуватись.

Тут взагалі питання нахіба дія взагалі зберігає такі випадкові «фото» ? невже важко розпізнати що це не документ і видалити? чи на етапі завантаження це зробити і навіть не завантажувати?

эта услуга доступна только с портала

Це або людина має робити, тоді уся ця дія немає жодного сенсу, або треба робити через OpenCV алгоритм розпізнавання. А це вже відповідні не дешеві ресурси. Справа в тому що вони ці документи взагалі там зберігають, от навіщо ??? Це ніби агрегатор цифрових реєстрів держ установ, а виявилось що ні.

А фото пов’язані з данними з інших семплів чи просто всі підряд?

все підряд
Але явно прогрядаєються «кластери» які легко зв’язати з послулами дії
1. багато фото зв’язано з службою зайнятості: фото трудових, фото різних документів про освіту та різні навчання.
2. Фото зв’язані з пенсійним фондом.
3. Фото зв’язані з ідентифікацією особи : паспорти, айдікарти, водійські, закордонні
4 Фото зв’ящані з МСЕК та отрманням інвалідності та пенсіїх по інвалідності
5 банківські фото зі станом рахуніків та оборотами коштів.
6. доки для єМалятка.
7 доки ФОп, припинення, реєстрація і так далі
8 шлюбні посвідчення

і так далі

Иван откуда ты скачал архив?

Якщо в Ураїні є ассоціяція з ЄС, то певно саме час ввести GDPR там є процедури, що можна зберігати в базах, а що ні. І якщо зберігаются приватні данні, то який контроль і норми безпеки виконуются. Право видалити себе з системи тощо. Ніби то безкоштовна дія (насправді розроблена за податки) виявляється дирявою PHP поробкою. Може вони її зроблять просто платною для тих хто користується? Буде якась іньша комерційна альтернатива тощо. Якщо там даних ніби то нема, то нехай за якесь мито за доступ до реєстрів комерційні оператори створюють софт, а справжні інспектори з міністерства їх переверітимуть на предмет відповідності до норм доступів, поводження із інформацією тощо. Як мінімум банкам таке треба, якімось іньшими приватним установам. А так грощі беруть за це з усіх, в ключно з тими хто не є користувачем інтернет взагалі.

В продолжение предыдущего поста. Если посмотреть на сгенерированные шаблоны Twig и на реальный код текущего сайта, то все специфичные отступы совпадают 1 в 1.
prnt.sc/26ig6xm

При чем тут очень тонкий момент, в исходниках на Twig (themes/diia/partials/form/faqForm.htm) на строке 34 сходу и не скажешь, что в итоге получится такое количество отступов. Это можно увидеть только по сгенерированному файлу (storage/cms/twig/28/282899cd0dca9f3dab206c56f4fd4b9133cb319e1b52a3dff06573e452344e98.php, 74 строка)

Как это объяснить, если это не исходники сайта?

Может старая версия? А в новой (которая как они писали — не на PHP) что, продолжили юзать Twig? Странно, как-то. Хотя, конечно, возможно.

Ору.

Если это не исходники портала, тогда как объяснить это?

prnt.sc/26ifqyv
prnt.sc/26ifrnr

diia.gov.ua/...​s/bg-test-diia-upload.zip

Пока файл не удалили, подтвердите кто-то еще, что скачали.

Так, файл досі не видалили:
> date
понеділок, 24 січня 2022 11:53:49 +0200
> curl -O ’diia.gov.ua/...​/bg-test-diia-upload.zip
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 6399k 100 6399k 0 0 10.4M 0 —:—:-- —:—:-- —:—:— 10.4M
> sha1sum bg-test-diia-upload.zip
dec5f59acd251e81fa65860e53aca392b752cfe2 bg-test-diia-upload.zip
> drill diia.gov.ua
;; ->>HEADER<<- opcode: QUERY, rcode: NOERROR, id: 43965
;; flags: qr rd ra ; QUERY: 1, ANSWER: 1, AUTHORITY: 4, ADDITIONAL: 4
;; QUESTION SECTION:
;; diia.gov.ua. IN A

;; ANSWER SECTION:
diia.gov.ua. 40 IN A 195.189.240.70

> whois 195.189.240.70

inetnum: 195.189.240.0 — 195.189.240.255
netname: ORG-DD219-RIPE
country: UA
org: ORG-DD219-RIPE
admin-c: DN4401-RIPE
tech-c: DN4401-RIPE
status: ASSIGNED PI
mnt-by: DIIA-MNT
mnt-by: RIPE-NCC-END-MNT
created: 2020-10-07T13:30:45Z
last-modified: 2021-11-04T15:50:21Z
source: RIPE
sponsoring-org: ORG-UL225-RIPE

organisation: ORG-DD219-RIPE
org-name: SE Diia
org-type: OTHER
address: 24 Dilova st. Kyiv, Ukraine, 03150
abuse-c: ACRO35642-RIPE
mnt-ref: DIIA-MNT
mnt-ref: DIIA-MNT
mnt-by: DIIA-MNT
created: 2020-09-23T14:20:20Z
last-modified: 2020-09-24T08:51:05Z
source: RIPE # Filtered

role: Diia NOC
address: 24 Dilova st. Kyiv, Ukrain 03150
nic-hdl: DN4401-RIPE
mnt-by: DIIA-MNT
created: 2020-09-23T14:09:19Z
last-modified: 2020-09-23T14:09:19Z
source: RIPE # Filtered

Дивно, але цей файл досі можна завантажити за посиланням. Можливо команді Дії вже все одно.

А раніше не було все одно?
Може, ви ще й російською говорити вмієте?

ОК: Рядовий українець з 18 років залишає за собою тисячі ксерокопій паспорту, іпн: в банку, на роботі, фоп хрюшкам на галере, обмінник в переході на хрещатику, в універе, заявках в всякі жек богодельні. Які ні як не контролюються взагалі. Бери і іди кредити бери.

Неок: ХТОСЬ ВИКЛАВ СКАНИ ПАСПОРТІВ. РЯТУЙТЕ!!!

Там насправді багато іньших моживих проблем. GDRP не на пустому місці виникнув.

Якщо б ніякого ефекту не було, то корпорації б так не нили про нього

ну гугл і фб і далі риють всі дані, їм срати на EU з їх GDPR. кожен тиждень новина, як вася хотів видалиться через GDPR, а там виявляється його дані автоматом розходяться по 100+ «надійних» партнерів платформи, яким в принципі насрати на все. а так да, його дані видалили :)

його дані видалили

Знач все працює

ну як видалили...принаймі в тій статті що я читав. вони «скоріш видалил ніж ні», бо всі його дані автоматом передавались в 100+ надійних партнерів...на які вони ніяк не можуть вплинути. ну формально, скажімо, гмейл ти видалив свій. але всі твої листи в дані по ним уже давно гуляють по всім Ad і маркетологічним помийкам...

Якщо у вас є дитина — ви у багатьох місцях лишали одночасно:
— РНОКПП обох батьків
— повні дані з паспорту обох батьків
— фактичне місце проживання матері
— банк
— IBAN
— електронний медичний висновок про народження дитини
— ПІБ та дану народження дитини
— пошту обох батьків
— телефон обох батьків
— дані про шлюб

Ні?

Ну нічого, тут для вас усе гарно зібрали, щоб не шукати.

і все це збирає представник РАГСУ, несе кудись потім...тобто абсолютний відсутній контроль за всіма цими сканами. Бери і відкривай хоч 100 кредитів. Дай бог лудити не зруйнують Дію, і ми отримаємо можливість надавати доступ до державних даних: «прийшов запит на документ реєстрації проживання від РАГСУ № 39 Представник Оомеляна Світлана», «Надати доступ на 2 дні?» — ТАк — Ні

тобто абсолютний відсутній контроль за всіма цими сканами

А зараз — контроль повний.

Відкритого коду нема, але є відкриті дані.

Коли всі дані про вашу дитину лежать десь папером у архіві — треба заплатити гроші чиновнику, щоб він здійснив злочин, знайшов ці дані та передав їх зловмиснику.
Коли є дамп єМалятко — треба лише скористатися Ctrl+F.

Якби я мав дитину — я б обрав перший варіант.

коли ти відстоїш 3 дні в черзі в СоцТрахГосСтрах, щоб тебе послали на"й, бо ти забув Форму 23-Д по місцю проживання, яку видає твій ЖЕК у Вт-Чт з 15:15-15:40 при присутності обох працюючих батьків і терміном дії довідки 3 дні, щоб зарегать дитину по місцю проживання одного з батьків, тобі буде насрати де там що лежить.

Те, що дані злили — це злочин.
Те, що дані лежали в сиклях тупо — це злочин.

Те, що іде цифровізація всього — це добро.

Те, що всі ці дані і так дуже легко дістаються кому завгодно, (Я мовчу про МВС, які без суду і слідства дістають будь-яку вашу доку в продовж дня і майже безконтрольно), не дає приводу паніквати тут і бігти видаляться з мосту.

В кінці-кінців, головна мета цього топіку — ЗАХОДИТЕ В МОЙ ТЕЛЕГРАМ КАНАЛ

Те, що іде цифровізація всього — це добро.

Цифровізація без роозуміння ризиків — це катастрофа.

що всі коментатори тут цифровізували за своє життя? тікети в джирі? чи ангуляр на монгу натягнули? у половини код від сімки — 1111 або 0000, чи 0101. Зате в нижніх інтернетах одразу експерди по чому хочеш.

Хто тобі сказав, що ти можеш оцінювати ризики, і вирішувати, що зло, а що добро?

утіканя таких даних — це зло. те, що їх тримали в сиклях — це зло.

добро: намагання цифровізувати цей паперовий треш, який у нас є.

давайте може ще показання лічильників відносити особисто в всякі тепло енерго? бо по скайпу чи тг ботам слати — не секурно. вдруг хто взнає твій номер лічильника...візьме кредит на нього.

добро: намагання цифровізувати цей паперовий треш, який у нас є.

На першій лекції по архітектурі ПЗ студням розказують, що автоматизація хаосу породжує автоматизований хаос.

давайте може ще показання лічильників відносити особисто в всякі тепло енерго? бо по скайпу чи тг ботам слати — не секурно. вдруг хто взнає твій номер лічильника...візьме кредит на нього.

Ото в 2к22 році просувати введення руками.
Підхід дмитриків: а давайте додамо сайтик, а ще краще — в дії формочку! Кайф, марожина!

лекції по архітектури ПЗ...це в богодельнях типу могилянкі чи католицькій бурсі? чи курс на курсерсі з лінкою на freecodecamp?

держава і так знає дані про батьків дитини, але ж ні, в 2015 році ми носили всі ці бірюльки-виписки в окошечко хрен зна де на районі, щоб отримати соц допомогу по дитині. Наскільки я зараз знаю, уже є ЄМалятко. І я тільки радий.

Дімусіку, тобі навіть клепки не вистачає зрозуміти, що ти навіть щось подавати не мусиш (єМалятко — черговий автоматизований хаос). нуф сед.

? я два роки тому оформив дитину за 5 хвилин. І дружина онлайн подала заявку на соц виплати по дитині. Менше ніж за хвилину. В цей раз в ніякі СоцГосСтрахи не треба було їхати на 7 ранку.

І лікаря я знайшов по helsi.me, нікуди не ходив. І оформився з ним по вайберу. І на вакцинацію теж все онлайн...

не треба тягнути наш прогрес назад до «віконце № 7» і прийомних годин з 15:45 до 16:30 в Четверг і Понеділок. Якщо подобається жити в совку — в донецьку все заєб*К, ніяких компутерів, все в чергах і з 15 листочками довідок, все як ви любите, противники Дії.

? я два роки тому оформив дитину за 5 хвилин. І дружина онлайн подала заявку на соц виплати по дитині. Менше ніж за хвилину. В цей раз в ніякі СоцГосСтрахи не треба було їхати на 7 ранку.

Ти настільки альтернативно обдарований, що не розумієш, що ці всі виплати мали б тобі надходити автоматично. Без заявок. Заявки — і всі єМалятки — це автоматизований хаос, який обов’язково буде зламаний.

І лікаря я знайшов по helsi.me, нікуди не ходив. І оформився з ним по вайберу. І на вакцинацію теж все онлайн...

Який стосунок хелсі має до державних сервісів? Це приватна контора.

не треба тягнути наш прогрес назад до «віконце № 7» і прийомних годин з 15:45 до 16:30 в Четверг і Понеділок. Якщо подобається жити в совку — в донецьку все заєб*К, ніяких компутерів, все в чергах і з 15 листочками довідок, все як ви любите, противники Дії.

Дитинко, ти настільки ідеальний приклад Даннінґа-Крюґера, що це просто прекрасно.

До речі, розробники Дії цілком нормальні. А от захисники Дії настільки упороті, що дивовижно.

що, уже 5 постів пишеш образливі речі, а все мій рівень ніяк не упаде до твого? :)

попиши ще. я буду відповідати :)

Потикати паличкою у самовпевненого ідіотика — це ж улюблене заняття.

І лікаря я знайшов по helsi.me, нікуди не ходив. І оформився з ним по вайберу. І на вакцинацію теж все онлайн...

Записуюсь на прийом через той гидотний сайтик (на створенні якого вкрали купу грошей), приходжу на призначений час, чекаю поки лікар звільниться і прийме всих хто в черзі переді мною, приходить якесь чудо і починає кричати що воно записалося через сайтик і його час вже як 15 хв. йде і обурюється як це так можна просто прийти і зайняти чергу без попереднього запису.

Записуюсь через гарний сайт хелсі. Працює гарно навіть на мобілках. Приходжу на прийом. Мене приймають. Уходжу.

Вам хочаб щось в житті в результах лютої цифровізації не подобається?

Мене теж приймають і уходжу, але користь всього цього helsi вкрай сумнівна а наполегливість з якою лікарі ледь не примушують записуватися через нього і реклама цього лайна по всій поліклініці дуже підозріла.

Сорян, но этот булшит защищает тебя только от чинуш и все

прийшов запит на документ реєстрації проживання від РАГСУ № 39 Представник Оомеляна Світлана«, «Надати доступ на 2 дні?» — ТАк — Ні

Назовите количество раз сколько за вашу жизнь чиновники конкретно с вашими доками делпли что либо? Или может сколько работников рагса на вас кредит брали ? Я понимаю, языком молоть, не мешки ворочать.
И еще одно вот это вот:
«Надати доступ на 2 дні?»
Не защищает ни вас ни меня от того что произошло сейчас когда увели базу.
Или кулхацкеры будут обязанны вам пуш выслать с сообщением:
«Хакеры хотят продать ваши данные. Разрешить им? Да, нет»

так я і кажу, що всі громадяни України розксерили тисячами свої паспорти, носили їх в якісь шараги, де будь-яка дівчинка-оператор-каси може просто передати їх знайомому знайомого, який і візьме кредит. Але ні. щось такого немає ніде...

Одне діло коли це 1 скан документу.

Зовсім інше діло коли це комплексна інформація на міліони людей.
не займайтесь софістикою. це маніпуляції
на кожну людину що втратила скан документу припадає тисячі людей що не втрачали.

коли людина втрачає документ чи його копію це провина людини.

коли це робить державна установа, ще і міліонами копій це провина саме цієї утанови.

на вас уже взяли кредит? може 2га дідових уже забрали? чи машина уже не ваша, переписав хтось? 2 дні пройшло. Нотаріусів, які це б уже зробили — валом.

думав запропонуєш зайти в його телеграм канал...

за то, что я передал девочке доки несу ответственность я, я могу прийти посмотреть на девочку сказать стремная и уйти, да я не получу услугу, но это решение принимать я буду передавать или нет. А сейчас ситуация, другая без моего ведома данные увели и теперь могу с ними делать все, что угодно. И в этом как раз проблема.

тобі седня дзвнить банк, ти завтра уже біжиш верифікувати особистіть, щоб не закрили доступ до рахунку. Візьмууть пару сканів паспортів і відпустять. Ну а не даси — рахунок лок, до побачення. читайте договори. Про які послуги ти мелеш...

ты тупой? про какой банк ты мелешь, чувак. какой договор ? мы с тобой про рагс. короче с тобой все ясно ))
капец какие твердолобые попадаются.

видать на перефірії все погано...

коли твоя скотобаза відкривала тобі фоп, ти сканчікі робив в офісі? чи сказав «я відмовляюсь, стремная деваха какая-то»

Как хорошо что у тебя в Киеве все зачет. Но мозгов это тебе не добавляет. ты обсуждаешь кейс про рагс. А потом тупо сьезжаешь на кието банки базы и прочее. Ты тупица сам про рагс писал. Давай расскажи мне про рагс рагуль ). Банк мы еще обсудим. Что там по рагсу ? понимаю что когда аргументов нет, то мордой в говнецо не хочется мокаться.

що по рагсу? ксерив паспорти батьків? всі листочки при чому. здавав тьоті, яка «типу від рагсу» в пологовому сидить? чи сказав «стремная тьотя, не дам тобі доки». і дитина не оформлена досі?

я на це все вище писав уже, якщо тобі важко тримати більше ніж одну тему в голові, то і не дивно, що шлюпка в миколаєві досі.

Ты настолько ущербный, что не понял даже что с этими ксероксами ты можешь только жопу себе подтереть, и то если извилин хватит)
И если ты напряжешь ту извилину, что уши держи, то мож до тебя дойдёт, что если бы кредит можно было бы взять так легко как ты пишешь, то уже абсолютно на всех они висели бы ), по твоей же логике нельзя отследить откуда доки слились и все такое.

Вот для такого тугого как ты
Важливий нюанс: сама по собі копія, навіть та, яку запевнив нотаріус, не має юридичної сили, тому видати кредит по копії паспорта на законних підстав ніхто не може.

в чому різниця між ксероксами всіх твоїх документів і jpg файліками цих сами документів?

чи ти уже nft токенів намінтив на свої доки? :D :D

Ну если ты не понимаешь что такое сканкопия и ксерокс, то мне тебя жалко иди учи матчасть)

Еще раз для тебя продублирую

Важливий нюанс: сама по собі копія, навіть та, яку запевнив нотаріус, не має юридичної сили, тому видати кредит по копії паспорта на законних підстав ніхто не може.

а по жпегу уже мають підстави видати кредит? чи треба png? чи гфіку приймає нотаріус?

Ну если тебя глаза подводят к доктору сходи, и svg картинку возьми заверишь у нотариуса )

так-так, ми вже чули що роль кібербезпеки перебільшена, дякуємо, пан Хвьодоров, можете не повторювати

а чого ця секуріті всім стала треба лише в Дії? Коли ти в якісь незрозумілі віконця совав скани паспорту, щоб долари поміняти, тебе це турбувало? чи коли хрюшанька в галере тебе оформляла? ще і з повною довіреністю на НЕВІДОМОГО бухгалтера, яка «вела» твій ФОП?

Те, що це все утікло і лежало просто в сиклях — це жах і злочин. Але чомусь у нас всі агряться по команді...це як пробити колеса машині, що стала на газоні, а потім сісти в сусідню машину, яка на тротуарі стоїть і поїхати з відчуттям виконаного громадянського обовязку.

щось я не пам’ятаю щоб я з добою гусів пас, але пофік
свої фантазії можешь залишати при собі, бо я досі нікуди нічого не совав, в галерах не працював і з НЕВІДОМИМИ бухгалтерами справ не мав. то ж свої фантазії можешь залишати при собі
а агряться тут тому, що трохи розуміють який фейл була дія від початку і як надолуго виглядяють твої ниці спроби виправдати цей обсер, мішаючи дешеву демагогію з фантазіями
сподіваюсь що тобі за це хочаб платять, бо коли це безкоштовно, то це вже зовсім дно

Не трать на него время он сам мало понимает, что несет. Даже если ты и менял деньги по паспорту, то с этой копией кассир может пойти жопу себе подтереть. Потому, что для кредита нужно куда более бумажек.
Иначе это был бы массовый звиздец с кредитами.

ну ему ж надо чё-то в защиту хозяев морозить. ему за это платят з/п. а так, глядишь, отвечая мне — больше каментов напишет, заработает на что-то получше куриной мивины, купит острую с креветками. я добрый сегодня

дійсно, ти зі мною не міг пасти гусей. у мене ще дід був викладачем математики. в полі не працювали.

ти ж ба, виявляється не усі «народні мудрощі» — маячня. на нащадках геніїв природа справді часто відпочиває

може онуки осилять поступити в київ. хоча б в кульок. а там і в галеру якусь...не все ж як діди по шлюпках стрибати на периферіях...

Дружище если ты думаешь нас зацепить фразочкой про периферию, то это смешно как минимум слышать от быдлака из Киева, который даже аргументов нормальных привести не может. Пробулькал непонятно, что и в собственной писанине потерялся. Ни я, ни Павел не собираемся опускаться до твоего примитивного уровня). Заметь не только мы тебе пишем и пытаемся из твоего потока бреда хоть что-то понять.
У нас с самооценкой все гуд, а тебе походу, что то мешает раз нужно померяться и акцентировать внимание, что ты у нас из Киева. Сходи к психологу чтоли, неврозики и травмы подлечить, там сверху тебе предлагали в коментах кофейку бахнуть, а то стул сгорит вместе с пуканом.

Т.е. по-вашему реально нет разницы между одиночными случаями нечистоплотности сотрудников госучреждений/банков/др. по отношению к одному-нескольким гражданам и прекрасно структурированному огромному (пару КК записей) массиву актуализированных данных, которым только ленивый мошенник не сможет воспользоваться в своих целях, даже не обладая особыми техническими навыками и должностными полномочиями (тот же социальный хакинг, когда перед ним на столе/экране будут лежать абсолютно все документы и данные жертвы, ее родственников, соседей по площадке и т.п.)?

И кредиты тут совершенно не при чем — на разводах а-ля «ваш сын/дочь попали в полицию, дайте денег» сидельцы тоже неплохо подымают, даже с карточками возиться не надо, люди сами из дому выносят, особенно пожилые. Только раньше они тыкали пальцем в небо, а теперь будут набирать и спокойно называть все данные (в т.ч. и паспортные) совершенно точно существующих сына или дочки.

Дичайшая-дичь из происходящего — сенсатив данные находятся в открытом виде в базе. Хотя даже минимальный тренинг по секьюрной разработке говорит что так делать нельзя, именно потому что в случае кражи дампа они будут доступны атакуещему. При этом возможность шифрования нужно просто блин включить. Допустим www.postgresql.org/...​1/encryption-options.html (хотя тут тоже все не хорошо, потому что хеши паролей должны быть HMac а не MD5 которые уязвимы от перебора радужными таблицами, посему не помешает база за деньги типа Oracle) А что если в военных системах тоже самое происходит, если там тоже все взломали и за дампили.

Для «роль кібербезпеки перебільшена» воно не є сенситів. Я більше скажу, в Положенні про BankID в заходах безпеки прописано, що абоненти-надавачі послуг мусять мати страховий рахунок, щоб убезпечити НБУ у випадку якщо він надасть ідентифікацію, а вони цю послугу не оплатять. Двадцять гривень за ідентифікацію! — Всратий НБУ захищає себе від кидка на двадцять гривень оплати за послугу. Це те, що їх хвилює. А як щодо захисту клієнтів від шахраїв чи нехлюйства персоналу банків? — А про це там НІ-ЧО-ГО.

А что если в военных системах тоже самое происходит, если там тоже все взломали и за дампили.

Что значит «если»?
Спасет то, что у нас пока что не так то много цифры в военном управлении

Ви ж в курсі, що код сайту також злили чи ні?

посему не помешает база за деньги типа Oracle

Як платна база покращує безпеку?

В Oracle більш сучасні алгоритми шифрування які складніше зламати, і в цілому краще walet. 2. Звісно в курсі, що вам з того коду ? Його можна було (скоріше треба) повністю відкрити взагалі, можливо раніше знайшли помилки. А от скажімо можна: дізнатись де красти нову машину, взяти на вас кредит на 300% річних, надурити співробітників банку, наробити фальшивих документів на справжніх людей для шпигунів тощо.

В Oracle більш сучасні алгоритми шифрування які складніше зламати

0. Хто вам таке сказав?
1. Хто стверджує, що пропрієтарні механізми краще публічних?

що вам з того коду ?

Хардкод ключів шифрування

PS: ой як все погано з базовою безпекою в нашому іт

Хардкод ключів шифрування
Його можна було (скоріше треба) повністю відкрити взагалі, можливо раніше знайшли помилки.

Я не хочу брехати, але, здається SHA перші зробили публічне баг-баунті та відкрили алгоритм свого часу, що було дуже позитивним мувом.

Не до кінця розумію, що ви хотіли цим сказати

Те що якщо розробники не натравили статичний аналізатори коду, який скаже що от тут і тут ключі доступу захардкожені, а мають лижати в файлі специфічному до енва (sicret) — то принаймі комьюніті могли б це зробити. Передивились, що включено walet сервіс на базі, і сесатів данні шифруються тощо. Щось таке я чув коли в універі вчив захист інформації, що захист робиться не на основі секретності алгоритму, а на основі складності зламу в певний проміжок часу. Сподіваюсь тепер хтось нарешті натравить Sonar на сорци і почне фіксити вразливості.

Щось таке я чув коли в універі вчив захист інформації, що захист робиться не на основі секретності алгоритму, а на основі складності зламу в певний проміжок часу.

Так, «security through obscurity» був такий вислов навіть :) І воно дійсно погано працює таким чином.

Той момент коли джуни шарять крутіше цілого міністра...

Я іноді тицяю профільну освіту (інформбезпека на фізтеху КПІ) в пику особливо мудацьким ботам «а ви експєрт ва всьом», але сумно, сумно аж за край, що все настільки погано, що не треба бути якимсь супер спеціалістом щоб це побачити, все лежить на поверхні.

Роль кібербезпеки перебільшена ©, так що обережніше тицяйте :).

мають лижати в файлі специфічному до енва (sicret)

Это решение годится для курсача а не для гос. продакшена. И в целом проблему не решает.

Решение чего ? Скажем есть у меня сертификаты для TLS — я их положу в сикрет на кубере, или просто файлом если у меня другой тип сервера. Для ародакшена и других жнвов файлы будут разные, и у разработчиков никакого доступа к продакшену и его файлов не будет во избежание утечек. Базу данных с сенсатив данными защищают средствами шифрования в самой базы, walet ну или триггеры хранимые процедуры и т.п. если нет поддержки из коробки, вроде MySQL и т.п. бюджетные СУБД. У карйнем случае с помощью самого приложения с тем же подходом что и сертификатами. А ситуаций когда есть велосипедный энкриптер шифрующий блочным AES, и ключь вместе с солью просто захардкодкожены в исходном коде, мне наблюдались многократно. В большинстве случаев это уже выявляется статическим анализом кода, фактически все известные мне анализаторы кидают секьюрити блокер как только видят такой код. Правда это не сработает когда данные вообще в открытом виде, не проводятся ревью, тесты на проникновение и в целом мероприятия по безопасности по типу «роль кибр безопасности преувеличена».

Сикреты в файликах это уже доступ к ним через ftp. То есть на уровне файловой системы, даже те же env variables требуют уже доступ к самой ос чтобы их скомуниздить.

Не заопенсорсять, бо тоді не можна буде кредли хардкодити. А то не зручно...

Знесений топік переїхав до Даркнету і розширився на 431 GB документів з електронного кабінету водія.

залий на гугл драйв. цікаво глянути свої скани :D

стрьомна адреса...ще біточки намайню комусь

Так то адрес в даркнете. В тор-браузере отключите скрипты полностью, максимальную безопасность включите в настройках..

можете перепостить пожалуйста — пропала страница

на 431

Це за гроші чи можна і так скачати?

за гроші. за так там теж демка викладена..

Більша за попередню чи та сама?

З коментарів від Шона Таунсенда:

У меня есть файлы с рейда, и я на 99.9% уверен, что портал Дия был взломан российскими или беларусскими хакерами и с него произошла самая массивная утечка в истории Украины. То что мы видим сейчас — это активное мероприятие, чтобы замаскировать взлом под криминал.
Коментатор: А можно вопрос, для чего этот шизик попытался в клирнете вообще такое продать с самого начала?
Это не «шизик», это российская спецура так отвлекает от себя внимание
Я уже полностью уверен в том, что эти дампы от атаки 14 января и они подлинные.
Какие еще бабки. Российские спецслужбы взломали половину правительства, сп***или данные, испортили часть систем и продолжают глумиться. Это самая серьезная атака за всю историю Украины в чем-то даже более паскудная чем Непетя.

Интересно, а все эти центры кибербезопаности от службы брелков украины и водителей киберприусов на деньги USAID даже мониторинг трафика внутри периметра не поставили?

как все видим система защищает себя от граждан

⚡️⚡️⚡️
Як захиститись від оформлення кредиту

Інфу надіслала мені в ЛС людина яка спілкувалась з саппортом УБКІ, сам не перевіряв, пересилаю як є:

1 опція. Написати письмову заяву на те щоб тебе занесли в стоп лист. Такої можливості нема. Вони не приймають письмові заяви
2 опція. Зареєструвати загублений паспорт www.ubki.ua/lost-passport-ua. При перевірці кредитної історіі буде сповіщення «УВАГА! Клієнт повідомив про втрату паспорта. Високий ризик шахрайства!». Але це загалом не є причиною в відмовленні видачі кредиту.
3 опція. Оплатити «Статус контроль» (500 грн) www.ubki.ua/statuskontrol-ua. І включити опцію FREEZE. В цьому випадку вам будуть приходити сповіщення що вашу кредитну історію хтось дивиться. І їм буде відображатися повідомлення що ви не бажаєте кредитуватися.

АЛЕ! Це важливо! Ви не зможете скористатися опціями 2,3 якщо в вас нема кредитної історії. Ви ніколи не користувалися кредитами.

1. нижче пояснювали, що кредитних реєстрів більше ніж один.
і це в першу чергу головняк кредитної установи — перевірити особу позичальника.

додасться зараз роботи безпековим відділам банків.

2. і кредитна установа (банк) почне вимагати новий паспорт.

4 Отправить SMS с текстом «НЕ ЛОХ» на платный номер 100500.

Я вчора перевіряв де ще можна найти рейтинг, найшов що є така послуга в фінас.уа.
А вони беруть з першого всеукраїнського бюро кредитних історій. pvbki.com

Я там зареєструвався і зробив запит( 50 грн). І частина моєї історії там присутня.

Найбільш неприємно що у списку запитів на мою історію майже всі банки де я колись пробував брати кредит чи кредитну картку.

Що ж, оформлю я Freeze у банку, на всяк випадок. Це заборона на відкриття будь-яких кредитів

Можна трохи деталей? Це послуга від конкретного банку чи від бюро кредитних історій? Яка вартість послуги, і чи є якісь підводні камені?

ниже отвечали, можно поиском + это не единственное бюро

така послуга є в убкі. коштує 500 грн на рік

оцініть масштаб гри: злити реєстри, щоб збирати гроші за неможливість відкрити кредит з твоїми доками

В Украине 70 банков. Во всех будешь оформлять фриз?

прямо стартап фопа: оформи фріз в будь-якому банку. підписочка 200 грн в місяць! Через Google Pay!

В Украине 70 банков. Во всех будешь оформлять фриз?

Є більш дієві альтернативи? Пропозиції?

а сколько всяких кредитопомоек — вообще не посчитать

Мікрокредитувальникам взагалі невигідно тобі не давати кредит. Вони ж на комісіях гроші заробляють. Все як у кіно Big Short де видавали незабезпечені кредити усім підряд.

про те й мова, що немає опції «я не хочу брати ніякі кредити» яку можна було б хоч якось забезпечити. тому вже випадки про «вкрали телефон, набрали на паспорт в Дії кредитів» вже не поодинокі
можна було б ввести якісь глобальний флаг (хоча б у реєстрі ДМС) «громодянин не хоче брати кредити» і зобов’язати усіх його перевіряти. але це вже фантазія, звичайно. ніхто не робитиме так, як краще людям

Freeze це не заборона. Якщо установа хоче на тебе повісити кредит — вони повісять.
Шахраї взагалі чхати хотіли на Freeze.

diia.gov.ua.tar
тут лежать файлики в ті що на порталі дія юзаються.

var/www/sitefiles/storage/app/media/

Мені в ЛС ще пишуть люди які знайшли свої дані або дані своїх знайомих та родичів та стверджують що все автентичне. Source: trust me bro.

$ grep -c "gov.ua" diia_id_live.sql
269
включая 1 сотрудника СБУ, 2 из аппарата ВРУ, какие еще пруфы надо

344 користувача.

Та да, многова-то там маилрушных

их вообще не должно быть

Ну, така вже реальність. Я думав, більше буде.

dou — уберите это dou.ua/users/home-pad — человек не туда попал

⚡️⚡️⚡️Користувач ДОУ розробив web-інтерфейс до бази де ви можете перевірити чи були ваші дані скомпрометовані: haveiindb.xyz !!! пошук працює тільки по семплу із 100 000 користувачів !!!

цікаво, хто туди заб’є свої дані. ору. мабіть ті самі, що в сусідній темі віддали явки і ставки від моно і привата, щоб «друг знакомого» зарегав в дії :D

Ваш ІПН і так всім відомий.

все і так всім відомо. тоді чого очковати, що десь хтось щось злив? МВС і банкам взагалі ніяких дампів не потрібно. Коли купляв машину, в банку взагалі така на мене вивалилась дока. Де є все, навіть земельні ділянки де і які. Хоча до чого тут банки.

от якби б в Дію приходило 2FA, на кшталт: «Пездолькіна Альона, старший фахівець Аваль, просить доступ до вашого декларації за 2020 рік», ось це було б супер! І пгп підпис, щоб лише вона могла відкрити. Як в старі добрі 2000ті... ;(

Аргумент щодо автентичності даних вирішується просто. Качаєте базу і шукаєте там себе та своїх знайомих.

Приберіть з топіку рекламу сайту від свіжого анону, що збирає емейли користувачів

Я не думаю що йому цікаво 2.5 ємейли коли в базі їх 100 000.

Він збере в цільової аудиторії
Ваш пост скопіюють в соцмережі, а там ідіотів більше

І він збере більше і не тільки ті, що були в базі

І буде винен в цьому не він, а ви
Бо постраждалі звернуться не до анона, а до вас

Зніміть шапочку.

Зніміть рожеві окуляри

PS: Відповідальними за його дії будете ви

Відповідальними за його дії будете ви

Це яким чином?

Конкретно можете сказати? Яким чином я буду відповідальним за дії (які дії?) іншої особи? За вашою логікою відповідальним за все те що відбувається на форумі є Макс Іщенко :)

Є вираз «вішати собак»

За вашою логікою відповідальним за все те що відбувається на форумі є Макс Іщенко

Так
Саме на його будуть подавати в суд, якщо будуть претензії до анона

PS:
Я б розумів, якщо б ви рекламували особу зареєстровану давно і з верифікованим профілем
Але не таке

Саме на його будуть подавати в суд

Ага, вже не я буду відповідати а Іщенко. А чому не хостер? :)

Я б розумів, якщо б ви рекламували

Я нічого не рекламую.

Припиніть молоти дурниці.

А як дізнатись хостера за cloudflare?

Я нічого не рекламую.

Передивіться текст _вашого_ топіку

Якщо я кажу те що ви не можете сприйняти — це не означає, що я кажу дурниці

Передивіться текст _вашого_ топіку

Слухайте, шановний.

Припиніть говорити загадками та гратися в конспірологію. Маєте що сказати—кажіть. Та будьте послідовними.

Я аргументи виклав — не_довірена не_верифікована особа збирає дані
У вас аргумент — «всьо будєт ок»

І це в темі про хак
¯\_(ツ)_/¯

Як я можу вас умовити, що небезпечно залишати власні дані на сумнівних сайтах?

Як я можу вас умовити, що небезпечно залишати власні дані на сумнівних сайтах?

Скаржіться адмінам хай банять людину та редагують топік. В інтернеті хто завгодно може робити що завгодно.

Я аргументи виклав

Почалося все з того що я «буду відповідати», потім почав «відповідати» вже Макс Іщенко а тепер ви просто пишете очевидну істину що в інтернеті треба дивитися перед тим як натискати на лінк.

Що сказати хотіли?

Таке

Я бачу, що ви підтверджуєте слова борнякова власними діями
(чи хто там цю мурню про кібербезпеку сказав)

Ви це про мене?) Я тут зареєструвався, бо зачепило. Потім, навіщо мені аномізовано збирати емейли? Дізнатися який користувач клікнув за посиланням не можна, айпі через cloudflare я не бачу. І навіщо, питається, мені логувати все те, що вводять користувачі, щоб потім сидіти і руками перевіряти що робоче, а що ні?)

Я зробив сервіс, щоб у людей, які не мають навичок роботи з БД, була можливість швидко перевірити, чи є вони в базі, а не для того, щоб щось збирати.

Потім, навіщо мені аномізовано збирати емейли?

спам

Я зробив сервіс, щоб у людей, які не мають навичок роботи з БД

Для таких є сервіси від профі не анонів, які мають довіру
Наприклад monitor.firefox.com

на ІПН відправлятиме ? :)

Виходить, що борняков був правий

xD

роль кібербезпеки перебільшена

Якщо навіть ойті покласти на неї

facepalm.gif

А вам не спало на думку, що при повнотекстовому пошуку можна вводити тільки частину email? Можна ввести будь-які 5 символів, і вже буде зрозуміло чи існує в БД такий email чи ні.

О господи, злой хакер Вася украл адрес почты ноунейма с доу, который и так слили, караул, мы все умрем, одинодинодин.

Тю
Так cvv від вашої картки на якій немає грошей також нікому не потрібен

Показуйте разом з номером

Чого чекаєте?

а можете поделиться семплом, нашел себя через UserID на haveiindb.xyz/check.html, хотел бы просмотреть полную строку по себе, какие там данные

Угадайте кого объявят виноватым? Доу-овцам приготовится!

інформація щодо злому порталу «Дія» не відповідає дійсності.

Хаха, дійсно, саме портал «Дія» не ламали, просто злили дані через аплікуху яка знаходилась в тому ж контурі.

"Дія сек’юрна"—ага, тільки коли вона знаходиться у дірявому відрі, то ця сек’юрність не допоможе.

ага и сервисы портала неделю не пашут ради нашей безопасности
и китсофт вывезли в неизвестном направлении :D

Btw а сорси на php викладені там же це не портал хіба?
400 мб статичних картинок нагадували власне портал.

Я його не дивився, але це не портал Дії.

портал да, пирог из kitsoft/october cms/laravel
но тут надо приглашать эксперта по обезьяньим языкам

iнформація про витік даних із порталу «Дія» не відповідає дійсності
23 січня 2022 р. 19:32

ОК, сфоткано
archive.is/Cd59J

Злам був
А витоку не було

Циркачі

Користувач ДОУ розробив web-інтерфейс

Ульо, Włodzimierz Rożkow
Свіжий анон зробив сайт для збору емейлів

Ви зовсім вже таво таке рекламувати?

Дочекайтесь коли оновиться база на monitor.firefox.com чи іншому довіреному ресурсі

Я вам можу дати код проекту, якщо завгодно.
Збирати емейли навіщо, якщо не секрет?

Для чого спамери збирають емейли?

Як я перевірю, що те що ви задеплоїли і наданий код одне і те саме

Якщо хочете допомогти, то викладіть ліст sha512 хешів з сіллю і кожен зможе сам захешувати з вашою сіллю і перевірити чи є хеш в лісті

Карочє, всю команду розжалувати до джунів і відправити на рік верстати ХТМЛ форми на 100+ інпутів.

Пилять, чому адміністрація не закриває форум для ботів? Толерантність до борнякова і компанії?

Так, що там ? Зрада чи перемога ?

Ни разу не было, и вот опять...

Мені здається ціна занадто низька для такого дампу.

А як ти його на практиці застосувати цв дампи плануєш і на цьому заробити?
В принципі повно і інших зливів, але поки якось живемо. Взагалі краще вважати всю інформацію в держреєстрах скомпрометованою, навіть без цієї дії.
Також до цих реєстрів є доступ у нотаріусів на редагування, наприклад.

Толку тоді ламати такі бази даних, якщо вони мало кому потрібні?

Там есть персональные данные в том числе наших военных, полицейских, СБУшников и прочих посадовцев. Как это могут использовать российские спецслужбы, я оставлю вам на «подумать».

А вот это надо донести до наших военных, полицейских, СБУшников

Тоді чому копійки простять?

Глумятся, маскируют под криминал.

80к
Скорше — це додатковий підробіток грушників чи злили через третіх осіб для лулзів

Аргументи ботів та фанів Федоріва:
«Ця база скомпільована з даних які були злиті 2019 року» — ❌ брехня, в дампі є дані за 2021
«Це база ФОПів з відкритих даних» — ❌ брехня, ФОПів у семплі лише 3%, також в семплі є паспортні дані які відсутні в рєестрів ФОПів
«Ця база не з Дії, а з реєстрів» — ❌ брехня, в базі первинним ключем є унікальний ідентифікатор який співпадає з ідентифікатором що видає портал Дія при логіні що підтвердили вже як мінімум п’ять людей.
«Там фото котиків» — ❌ і що? Це нічого не доводить але й нічого не спростовує.
«Це російська провокація» — даруйте, ми зараз будь-які провтики влади будемо пояснювати «російською провокацією»? Яким чином провокація це чи не провокація впливає на те що ціла купа автентичних даних була вкрадена з нібито захищених державних джерел?

Насправді немає значення чи ця база з Дії, чи ця база злита з дотичної аплікації. Наші претензії не до розробників Дії, а до абсолютно безвідповідального ставлення Мінцифри до безпеки в цілому.
Замість того щоб визнати помилки вони сцяють нам в очі у кращих традиціях кацапської пропаганди.

надеюсь все помнят этот видос www.facebook.com/...​watch/?v=2636581269894612
так вот документы — то что загружали фопы которым запретили работу и прочие безработные на помощь в 8000 грн
там по кведам проверяли, я сам помню
biz.ligazakon.net/...​to-ne-mozhet-ego-poluchit

Замість того щоб визнати помилки вони сцяють нам в очі у кращих традиціях кацапської пропаганди.

Бл*ди СММщики, сэр. Ссать в уши — единственное что они умеют профессионально.

Замість того щоб визнати помилки вони сцяють нам в очі у кращих традиціях кацапської пропаганди.

До тих пір поки на світовому рівні не буде розслідування, засудження та притягнення до відповідальності (аналогічно до того як засудили фашизм та фашистів) Комінтерну, НКВД, КГБ, КПСС, більшовиків-комуністів, всіх їх сучасних «фанатів» та ностальгічних «шанувальників» з футболками із зображеннями Дзержинського, Троцького, Леніна, Сталіна тощо — це все буде повторюватись і збільшуватись в масштабах, але під іншими масками та назвами (наприклад, відновлення монархій та станового суспільства). Це загроза для всього людства, а не лише для України.

Недарма ж Путін закрив «геройські» архіви НКВД-КДБ до 2050 року, бо вони тотально брехали та безкарно вбивали куди більше людей за фашистів, думаю, що в рази більше.

але під іншими масками та назвами

Еще «венерический проект» туда же. Украинская вата на этот рак тоже наяривает, пропагандируя его по разным клубам и нося футболки с символикой.

«Ця база скомпільована з даних які були злиті 2019 року» — ❌ брехня, в дампі є дані за 2021

Проверяли валидность этих данных за 2021 год? Можно в старые данные подмешать автогенерированных новых, или на старых данных поменять дату, или подмешать какие-то новые данные из другого источника.

Перевіряли.

Дуже важко згенерувати такі самі userId і createdAt.

raidforums ссылка больше не доступна(The specified thread does not exist).
Я так понимаю FreeCivilian решил не ждать понедельника(как писал на форуме) и все таки кто-то купил дамп.

Возможно продал, а возможно передумал продавать на данном форуме, а ушел в даркнет.
Там на четвертой странице форума была ссылка на onion-сайт, а там форум, на форуме доступ к теме только с премиум-аккаунтами.

и все таки кто-то купил дамп

минцифры, например.

Так даже если бы он продал дамп, что ему мешает дальше продавать его?

Им же надо от куда-то бэкапы брать

И кстати, так даже если бы он продал дамп, что ему мешает дальше продавать его?

Всерьез задумался о том кому я больше доверяю — минцифре или black hat хакеру.
Сложный вопрос

НА anonfiles.com файли досі є, просто заюзайте веб архів чи зі скріну вбийте урл у браузер

Так дайте сорцы :) кто успел выкачать

Спасибо скажу... Ох, как стал корыстен народ, пытаясь торговать даже не собственноручно сниженным.

за спасибо ссылки с картинки набрать?

так, просто, покрутить... не всем же сайты лепить чтоб собирать базу телефонов

Было бы неплохо создать какой-то гайд по дальнейшим действиям, которые могут помочь упредить мошеннические действия с данными. Наверняка же хоть что-то можно сделать
Я так понял что например кредиты можно запретить на себя оформлять — www.ubki.ua/ru/statuskontrol-ru
Стоит ли это делать и какие еще действия стоит предпринять — было бы круто узнать от тех кто в этом шарит

не знаю как запретить, но подписку на отчётность уже оформили

в налаштуваннях
СтатусКонтроль ->Опція Freeze:

Есть функция FREEZE для открытия новых кредитов, но для нее нужна СтатусКонтроль подписка за 500грн в год.

Получается что-то вроде:
«Не хочешь рандомных кредитов из-за дырявых реестров? Плати»

отправь смс сообщение НЕЛОХ, стоимость 500грн

Це всього лише організація прийому нотифікацій з УБКІ в Дії. З тим самим успіхом їх можна утримувати на вайбер, смс тощо

Це все добре але Убкі це тільки одна з контор яка таким займається.
Є наприклад www.pvbki.com
Це кредитне бюро теж займається збором на продажем кредитних історій. Ви можете легко там зареєстурватись і замовити запит на свій кредитний рейтинг це коштує 50 грн.

По собі я там знайшов інформацію, причому досить свіжу. Історія запитів банків теж є.
Звісно вона не така повна як у убкі. але крім цього бюро є і інші.

А может быть, чтоб если в одном из бюро использовать ту опцию FREEZE, то если на тебя оформят кредит (даже с использованием другого бюро) эту опцию можно было бы использовать например в суде если придется доказывать что это был мошеннический кредит?

это проблема тех кто раздаёт бабки, вы шо терпилами быть хотите

Ви неправильно розумієте сутність кредитних бюро. Вони створені щоб захистити кредитні установи від вас, а не вас від кредитної установи. Кредитна установа може, але не зобов’язана перевіряти кредитний статус. Саме заборонити кредити на себе жодної можливості у громадянина НЕ-МА-Є. Плюс, УКБІ це не єдине бюро.

Я думал что это единое бюро. Потому и хотел чтоб знающие люди ответили)
Но тогда такой вопрос — а кредитная история все такие где-то хранится единая? если я подписан на смс оповещения о запросах к моей истории в одном бюро, будут ли мне приходить оповещения при запросах к моей истории в другом бюро?
И второй момент — мне кажется, если в одном из бюро использовать ту опцию FREEZE, то даже если на тебя оформят кредит (даже с использованием другого бюро) то будет проще доказать, в том числе потенциально через суд, что это была мошенническая операция.

1. Бюро незалежні. 2. Лихварські контори, з якими найбільше проблем, можуть свідомо не робити ті запити. Їм простіше вліпити купу незворотних кредитів під 35000% річних (ні, я не зі стелі цей відсоток взяв) кому попало, зокрема через шахраїв, і стягнути з кого вдасться. Вони так заробляють гроші. 3. Суд може взяти до уваги, але це нічого не доводить.

Сраною «Дією» ніколи не користувався, але там є адреса моєї електронної поштової скриньки.

де в архіві база? лазив там якісь одні аплоди з в теках по хешам розбиті. де саме лежить дампік?

де саме лежить дампік?

Викачайте всі архіви та розберіться. Я аналізував перший дамп.

тепер ясно, як дехто дампи аналізував ))

То інший архів. Треба той де diia_id_live.sql

дякую. мабуть не ту лінку натискав на даркнеті. лінка уже прибита, хер з ним. всі там будемо :)

Ганьба — це купувати за мої податки ботів, що відбілюють зелених мерзотників

А вы не думали, что вы настолько конченные, что люди сейчас просто боятся говорить об этом в голос? И даже если человек нашел себя, он молча сделает выводы и не будет заявлять об этом, тк набегут сразу такие как вы, с воплями, вы все врете, сами все сделали.

Потому, что вместо того, чтобы признать проблему, сделать выводы, выступить с пресконференцией, наша минцифры, продолжает гнуть свою линию. А особым троллингом анонсируют е-захист

Яким чином ви поясните наявність в базі даних за 2021 рік?

Например, можно взять старую слитую базу с настоящими данными, подмешать в нее автосгенерированных «новых» данных за 2021 год и вуаля, подтверждение того, что слив свежий.
Или к старым данным подмешать каких-то новых из другого источника и т.п.
Люди начнут проверять, найдут свои старые данные, что даст самой базе следы правдоподобия, далее надо только немного расслабить критическое мышление и поверить, что раз старые данные корректны, то новые тоже корректны.

Если работа рук Москвы, то они таким любя заниматься еще с 50-х годов (для примера en.wikipedia.org/...​wiki/Who’s_Who_in_the_CIA), поэтому при интерпретации данных нужно будет предельно внимательным и не делать домыслов.

Там в слитой таблице есть поле userId, которое можно посмотреть также на сайте дии в полученном при аутентификации токене. И для свежих строк с датой регистрации на сайте дии ноябрь 2020 — это поле на сайте и в слитой бд идентично.

Тут такая мысль (не моя, с твитера, одного пользователя):
«Ну дивіться, тоді якщо лише на сайті + в тому треді пишуть, що знайшли себе в базі, хоча дію на телефон не ставили, а лише з сайту юзали, то чи не може бути, що дані крало якесь розширення в браузері. Таких прикладів є. Бо навіщо тоді їм до норм даних додавати ще архів з котиками.»

Кстати да, в архиве с фотками (это два больших архива в сумме 15-16 гиг, я выкачал все семплы, но не все смотрел) есть и фотки котов, разных картинок, не относящихся к документам.

Сильно в цьому сумніваюсь. Звідки тоді схема даних в якій є купа явно сервісних полів, які навряд чи потрібні фронтенду?

да это китсофт затроянили и слили всё из всех ведомственных ЦМС которых пара десятков
до реестров МВД или не добрались или не выложили пока
а ведомств там не мало: web.archive.org/...​itsoft.kiev.ua/portfolio
собственно сервис «помощь по безработице» как бы намекает
web.archive.org/...​yu-u-ramkah-portalu-diya

Головним викликом при розробці цієї послуги також була велика терміновість. Завдяки напрацьованим технологіям ми впоралися всього за 3 тижні

Я тоже в этом сомневаюсь. Просто передал мысль пользователя с твитера.

А дайте посилання.

Ссылка на комментарий в твитере:
twitter.com/...​/1485209896048017409?s=20

фотки котов — потому что пипл по приколу загружал в услугу в Дие «помощь по безработице» вместо фото своих трудовых — кого??? сюрприз — котиков!

Люди проводили експерименти з пустою (камера закрита) фотографією при реєстрації в Монобанку. (Нагадую Дія = BankID і навпаки). Міг хтось і котиків запостити.

www.kmu.gov.ua/...​na-onlajn-na-portali-diya
diia.gov.ua/...​s/dopomoga-po-bezrobittyu

8. Завантажте необхідні документи: паспорт, документ про останній вид зайнятості, документи про освіту та інші.

9. Перевірте сформовані заяви та підпишіть їх електронним підписом (кваліфікованим електронним підписом).

есть и фотки котов, разных картинок, не относящихся к документам

Ви, напевно, ніколи не працювали на першій лінії техпідтримки і не підозрюєте на що здатні далекі від ІТ люди.

В поддержке не работал, но приходилось общаться с пользователями. Иногда хочется прибить их, 21 век, а у нас компьютерная грамотность очень низкая среди обычных пользователей.

А может qa? или им свои документы загружать для теста?

Це має бути якесь дуже розповсюджене розширення

І якщо через нього отримали доступ до сорців сайту, то в нас більші і серйозніші проблеми

Це має бути якесь дуже розповсюджене розширення

Таке щоб його встановили мінімум 100 000 користувачів. Я в це не вірю. Враховуючи те що нещодавно був злам державних сайтів то найімовірніше базу здампили якраз під час цього зламу.

Таке щоб його встановили мінімум 100 000 користувачів

Якщо припустити, що зливали зі сторони людей, то тоді треба, щоб всіх українців воно охопило

Це дуже суттєвий ресурс для ботоферми

Ймовірність такого крайнє мала

фотки не смотрел, но семпл базы раздут дубликатами ~ в 2 раза

все до до чого береться зелений зброд приречене на провал. Скоро вони вибори запилять через це дно і тоді заживемо.

То ж буде перемога! Ви просто не розумієте...

Петицію на звільнення Федорова ще ніхто не створював?

Читали що про звільнення татарова єрмак відповів?

Мне кажется, ребята поспешили. Надо было дождаться єВыборов — и уже тогда слить небольшую часть реальных голосований, чтобы было понятно, что когда сольют всё — будет такой майдан, каких ещё не было. И соответственно выставить ценник уже под 100 000 000 баксов за то, чтобы это не попало на паблик, разумеется криптой. А когда крипта будет получена — слить.

будет такой майдан

В Fortnite — пандемия же — просто добавят скины членов Кабинета Министров

на моего знакомого вчера взяли кредит на 30000грн по фотографии паспорта

Это проблема того, кто дал этот кредит. В суд немедленно и на моральный ущерб тоже. Извини, чтобы выдать кредит, нужно физическое присутствие.

Либо же слито существенно больше того, что в сэмплах — например, ключи доступа. В таком случае непонятно, почему они все ещё не отозваны.

Если разработчики дии не полные олигофрены, то личных ключей там быть не должно.

Разработчики делают то, что им заказывают. А вот какие цели были у заказчиков — вопрос. Может так и было задумано?

Ви бачили їх зарплати в вакансіях? Набагато нижче ринка. Досвідчені деви туди не підуть, хіба що ідейні.

Я нагадую, Дія не має сертифікату відповідності КСЗІ і там немає жодного безопасніка за штатним розкладом. Ні, вони не олігофрени, вони аферисти кшталту «доктора Пі»

Если разработчики дии не полные олигофрены

Ты реально на это надеешься?

Если разработчики дии не полные олигофрены, то личных ключей там быть не должно.

они там и не нужны. Но вдруг..

Фотография из паспорта явно не из архива, там они плохого качества были. Хотя может в том, что продают получше качество.

на моего знакомого вчера взяли кредит

А як він про це так швидко дізнався?

Лол, по фотографии паспорта — я бы на**й слал. Микрозаймовые помойки надеются на лошка с одной стороны и коллекторов с другой.

сейчас нбу обязует микрозаймы работать только через BankId, так, что да — это рассчитано только на лохов.

Накидал полнотекстовый поиск по БД
haveiindb.xyz

Лучше всего искать по эмейлам, номерам или ИНН, чтоб наверняка.

P.S. под БД имею ввиду все опубликованные публично файлы на форуме, т.е. все что нам предоставили. Суммарно это данные ~160 тыс. разных людей.

Похоже продажа состоялась — ветки на форуме нет.
Так что твоя база сейчас на вес золота.

В повторных сообщениях парень писал, что платная версия загрузится на файлообменник только к понедельнику, и ускорить он этого не может.

Может просто удалили?

web.archive.org успел сохранить страницы, там и ссылки на семпл есть.

всі посилання зі скріну досі працюють.
Тому можна вбити ручками. Чи знайти дамп цієї сторінки на вебархіві

она есть, ее просто закрыли. если есть прямой укр то можно еще было зайти

сайт надо назвать по имени новой услуги от Дии — єЗахист

Вот только не находит оно тех людей которых я находил когда проверял своих родтсвенников и знакомых.

Может баг какой, или ищешь не так как там...
Напиши мне на artur.vilko (@) gmail com что именно не находит

Зачем на емейл, можно и тут.

Ищем по совпадению саак — находим среди первых человека с ИНН начинающися на 24 и заканчивающися на 49, копируем ИНН, проверяем есть ли он твоей базе
x0.at/pzGV.png

П.С.
Первые попытки то был реально мой фейл так как я пробовал искать по фамилии не вчитавшись в подсказку.

Косяк был, не включил колонку ipn из таблицы users в поиск. Пофикшено.

Заработало, проверил ещё несколько ИНН из того же файла — всё находит.

єЗахист преміум — відтепер ваші дані не продаватимуться спамерам в загальній базі, таким чином ви будете захищені від спаму. Лише перевірені пропозиції від авторизованих партнерів.
©

Дякую, додав.

Потому что вы, скорее всего, ищите их в таком формате, как указано на этом сайте — с пробелами, а они разделяют слова как при поиске в гугле :)

Сейчас выкачу обновление которое это пофиксит.

Наверное стоит добавить, что это просто полнотекстовый поиск по всем предоставленным данным: таблица users (100к строк), таблица signatures (с json, реальных 41993 строк) и семпл из 26227 json файлов. Итого 168220 разных записей.

Из таблицы users взяты колонки: phone, email, passport_series || passport_number, id_card_number, ipn
JSON-ы взяты как есть, целиком.
Все помещено в Elastic.

И по всему этому объему (~2,54Гб текста) идет поиск.

— По фамилии искать нет смысла из-за однофамильцев. Кроме того 100к фамилий из users намеренно не включены в поиск (могут найтись только из signatures, но это не репрезентативно).
— Есть смысл искать по email, по ИНН. Они достаточно длинные, чтобы не стать частью какой-то под-строки.
— Номера телефонов в JSON (signatures) в разных форматах хранятся, можно не угадать (со скобками, с пробелами, с тире, цельно, короче — рандом).
В users всегда строго в формате 38xxxxxxxx. Можно по экспериментировать.
— Номер паспорта маленький, может оказаться, что он является частью чьего-то номера. Но если его нет, то это, естественно, хорошо.

сделай чтобы скролл пропал
body > margin: 0

Судя по Вашему поиску, кто-то зарегался с имейлами «[email protected]» и «[email protected]»

Facepalm, каюсь. Забыл про «@»... match_phrase_prefix решил это недоразумение :)

Ну я побачив, що у злитому дампі є дані сина Дмитра Гордона. Можете перевірити, але дуже схоже на правду :)

є ще Руслана Лижичко :) можна спробувати пошукати ще знаменитих людей, але немає бажання

Та бути того не може. Руслана Спалахуйка ж спалила себе на майдані ще у 2014

Мы активно изучаем все кейсы, это оказываются скомплектованные данные из разных источников, которых ранее было море в сети, часто из одного популярного банка. Это было еще до старта работы Минцифры и создания Дії.

про який банк розповідає федорів?

Приват, несколько лет назад его базу слили, на том же форуме куски есть.

Мабуть він мав на увазі що витік стався не з банку, а через банк ... На рахунки якого він поклав розпиленні гроші.
А так данні не схожі на банковські, хоча не виключаю що це все компановка усього що увели 14 го а не тільки дія. Перший дасасет з юзерами точно х порталу дія — пруфів достатньо. А от скани можуть бути з файлопомийки цнапів, але точно не з банків бо є трудові, заяви на еМалятко и багато іншого, що не може бути з банків

А я догадываюсь что это за база.
Есть приложение Дія, а есть сайт diia.gov.ua. Судя по моему опыту использования, это слабо связанные между собой вещи (разве что называются одинаково).
Документы все из реестров тянутся в приложение. И по ходу таки сами реестры никто не сливал.
А то, что продается — видимо это то, что люди сами заполняли о себе при регистрации на diia.gov.ua, плюс кеш данных из некоторых реестров типа ФОПовского. Вспомните, там же достаточно подробная анкета — номер внутреннего паспорта, ИНН, прописка, телефон, e-mail и подобная лабуда. Я когда регистрировался еще офигевал, зачем мне это все вводить руками, если эти данные они могут подтянуть из реестров. Теперь я знаю зачем — чтобы мою персональную инфу слили в даркнет и продавали не то за 15, не то за 80 кусков.
Проверить очень легко. Кто скачивал семплы, поищите кроме єМалятки другие специфические услуги, которые доступны через сайт diia.gov.ua — например декларування місця проживання дитини, повідомлення про початок будівельних робіт и т.д.
А они рассказывают, что загранпаспортов нет. Так если моя догадка верна, их там и не должно быть у основной массы пользователей, разве что у тех, кто распечатывал ковид-сертификат через сайт (был такой период времени, когда с приложения сохранить было нельзя, а с сайта можно), или заказывал может какую-то административную услугу связанную с загранпаспортом. Натурально пятиклассники, которые неумело заметают следы, если уже лазят по форумам в даркнете и пишут лабуду какую-то. А этим же дебилам мы платим зарплаты со своих налогов. Повыгонять их с работы нахер! Они же другую в жизни себе не найдут, у них руки обе левые, и те растут из задницы...

Повыгонять их с работы нахер

ну це якби взагалі не жарти, коли зливають дані кастомерів (а в даному разі кастомери це ми), то...(підставте самі щось)

я до того, що просто звільнити мало

А то, что продается — видимо это то, что люди сами заполняли о себе при регистрации на diia.gov.ua, плюс кеш данных из некоторых реестров типа ФОПовского

Схоже що ви праві.

Мені в ЛС написав користувач який стверджує що ніколи не ставив Дію на телефон, а от анкету на веб-версії заповнював. Всі його дані збігаються.

Я ніколи не користувався веб-версією, але мої дані скомпрометовані, судячи з haveiindb.xyz

Цікаво, не можу вас знайти по фамілії. Хіба у вас тут фейкова фамілія :)

Я так і шукав. Немає. Пишіть автору сайту в ЛС :)

Я шукав не через сайт а по скачаному дампу.

А по ИНН?

Не нашёл там ни себя, ни своей бывшей жены, ни своей будущей

Не очень хочу во всякие поля писать все, что в голову взбредет. Искал по почте.

Хм, еще час назад оно криво искало, щас вроде норм.

У дампі users такого прізвища немає. У дампі signatures є лише однофамільці.

Полностью согласен. Мои данные там есть, точно те, что я вводил при регистрации на сайте Дія, и дата совпадает с датой регистрации.

Вот это я понимаю поступок
nv.ua/...​nie-novosti-50210643.html
Чувак обосрался и ушёл в отставку, так это не министр из минцирка, ненужного нафиг министерства без которого в стране ниче не изменится) целый командующий вмф

Он просто слишком много сказал. Командующий ВМФ должен уметь не говорить, а войну вести. Это как уволить программиста за отзыв о компании.

подал в отставку? наверняка его там натянули за то что ляпнул. или думете совесть замучила бедолагу?

Мне фиолетово что его там замучало, хоть геморой. Чувак обосрался, чувака убрали или он сам убрался не важно.

Не він подав а його подали. І що йому ще залишалося робити після скандалу?

Ну так и я ж об этом, нафакапил либо его ушли, либо он сам ушел не так у ж и важно.

Ззнайшов себе. Всі дані збігаються( ІПН, паспорт

І ФОП теж збігається?

Данні ФОП легко дістати по ІПН/ПІБ

Но не номер/серию паспорта же, да?)

ID на сайте соответствует тому, что в БД?

А де той ID на сайті і в sql дампі?

dou.ua/...​rums/topic/36213/#2328187

Тут парень описал как узнать его.

В дампе первая колонка, userId

Спасибо, щас на тебя парочку кредитов оформлю ;-)

до речі, тут вже товчуть тему про те, що дані могло злити якесь розширення браузера. Можеш написати, які в тебе є активні екстешнени?

Ну как же так? И даже поля никак не закриптованы? Хотя бы саму базу как-то зашифровали. Эхх...

И даже поля никак не закриптованы?

Ніяк не зашифровані.

Меня больше смутило поле password. Оно пустое везде — но хз может хакеры почистили для семпла

Там логін через ецп, плагін на js підписує запит твоїм ключом. Якщо в команді дії є хтось з елементами мозгу, то все це відбувається чисто на стороні клієнта без обміну паролями.

Але є одне але — якщо поле password таки прописане — то є і механізм проходу за паролем, навіть якщо його форми нема на сайті, але якщо то CRM — то працюючий бекенд ніхто не відміняв. А якщо то поле пусте... то може навіть і пропускає за пустим паролем, може так його і «зламали».

Лол, а как же потом этой базой пользоваться если закриптована? И вообще причем тут крипта?
сарказм!

Мається наувазі що якби дані були зашифровані у базі, то для її розшифровки потрібно було б мати ключ та алгоритм з аплікації. Це не заважає зламу, але поскладнює його.

На форумі RAID розповсюджують дезу (напевне боти мінцифри).
Бот стверджує що база фейкова тому що там немає закордонних паспортів. Але вони є, хоча й небагато, лише 0.25% записів:

Из личного опыта, мы знаем, что в приложении Дия, практически у всех украинцев имеется заграничный паспорт, который автоматически загружается в приложении.
Будь это информация из «Дии» — была бы информация о этих заграничных паспортах, но на просьбу предоставить доказательства о заграничных паспортах, хотя бы в количестве 1-2 штуки — продавец попросил оплатить 200$ .
По факту, в базе нет ни слова о загран.паспортах

Гарна спроба, Федорів, але ні. Там є дані а бот очевидно навіть не додумався скачати та розгорнути дамп.

Не ну, а чего, решили пойти тупым,но проверенным путем))

Бо в my.diia.gov.ua/profile немає закордонних паспортів. Як мінімув в мене.

Как много «СМИ» написало о взломе Дии? И кто-нибудь может сделать их перекресный анализ со списком удаливших новости о ДТП Трухина? Мы сейчас на сетку выйдем

Украинским СМИ это неинтересно, они анонсируют єЗахист.

До речі. Зараз на порталі дія відключені практично всі послуги/сервіси. Можна тільки залогінитись

Так вихідний ж.

Так вихідний ж.

Сервер, що обслуговує ваш запит у відпустці, приходьте після свят :)

Шутки шутками но в ОТП мне примерно так объясняли отсутствие данных о пополнение депозита. Буквально несколько лет назад.

А на обед они закрываются? Очередь есть?

Теж помітив. спробував замовити довідку про доходи — не працює. (Раніше працювало)

Я пробовал получить уже сформированный ковид-сертификат — в пятницу не работало.

Похоже вход починил (в четверг к вечеру), а остальное ещё нет.

Зараз my.diia.gov.ua взагалі не відкривається.

В мене така штука була через AdBlock розширення. Після того, як його вирубила, почало заходити.

Цікаво. Але тут це у кількох людей було, і у мене, а тепер відкривається, хоча нічого не змінював.

⚡️⚡️⚡️
Мені в ЛС ще пишуть люди які перевірили свої ID та кажуть що дані співпадають. Я думаю що наразі можна з дуже високою ймовірністю стверджувати що ця база або з Дії, або з проміжної аплікації, яка пов’язана з Дією через ID.

таааак, супер, я знайшов свою знайому в цій базі

Так же решил проверить. Себя не нашёл, но коллег по работе нескольких нашёл, адреса почты и номера телефонов верны(

Ровно в полночь база переименуется в Tinder.

Нашел пару знакомых в семпле, данные верны.

У «Дії» з’явиться «єЗахист» — українці зможуть дізнатись, на яких форумах продають їхні особисті дані

копирайт не мой.

monitor.firefox.com

Ця клоунада все більше і більше напрягає

⚡️⚡️⚡️
upd2: Один з користувачів форуму написав мені що він знайшов себе у семплі та перевірив ID з тим що видає аппка Дії. ID збігся, тому в нас є серйозні підстави вважати що дані справжні!

Додайте це в топік
Згори

PS: але блискавки приберіть, ми ж дорослі люди xD

Блискавки додають драми)

І додайте вибірку фоп/не_фоп, будь-ласка

а доверять этому пользователю можно?

Я перевірив—він дійсно є в базі. ID звісно перевірити не можу, вірю на слово. Я думаю з часом знайдуться більше людей які зможуть це підтвердити.

ну этот пользователь хотя бы давно зарегистрирован тут на форуме?

Не знаю, але думаю що так, навіщо б він мені писав тоді?

я знайшов себе в семплі, є дані паспорта книжечки, email (який я використовував тільки на сайтах дії і петицій президенту).
також є дата входу в дію саме через сайт (так, запамятав дату, — бо робив подачу заявки саме через сайт дії, а не через моб апп).
так як в дії тільки закордон-паспорт є, а не книжечка (як у мене) — тому, я думаю, база може бути сформована із різних витоків.

Те що в дії паспорт-книжечка не відображається не означає що цього паспорта немає в реєстрах куди дія має доступ.

Вона має туди доступ, у них з першого грудня є послуга зміни місця реєстрації для власників паспортів-книжечок

а можете перевірити чи співпадає ваш userId в базі з userId в jwt токені дії?
інструкція:
dou.ua/...​rums/topic/36213/#2328187

Повне співпадіння userId в базі з userId в jwt токені дії !
доречі, тепер дія (після зламу) при вході просить актуалізувати всі свої дані, email, підтвердити його і т.д.

Судячи з усього хакнули таки сайт.

Це не відповідає дійсності. Користувачів з «фоп» маркером там лише 3%.

як там можна було лише одні фопи побачити?
хоча, я не дивуюсь. Тут один на локальні айпішники намагався коннекттитись..
bdfss.blob.core.windows.net/...​640-9cc7-d017313756ce.jpg

Там куча не-ФОПов, куда ты вообще смотришь?

Пошукав усіх колег в тімі і вони раптом виявилися ФОПами? :)

ні, до речі, знайшов знайому (яка якраз фоп), і вона в базі не фоп, або точніше — дані відсутні

Секретна агентка. За тобою вже виїхали.

долучайтеся до мого телеграму

pasha eto ty?

Дія ж і з автомобілістами працює?
І з виконавчою службою?
Поки не буде зливу консолідованих даних в цьому розрізі, а не тільки фоп, то це все більше схоже на липу

В слитых данных ФОП едва ли половина.

Я без понятия что это, нам об этом должны рассказать Фёдоров и компания.

Но вместо этого они рассказывают нам что это вообще фейк.

Вони нам розкажуть, як космічні кораблі бороздять концерт кварталу

Вони свою довіру вже давно спустили в унітаз

Я чекаю, що специ щось скажуть

Готов подать коллективный иск против минцифры, если будет доказано, что утечка настоящая и данные настоящие.

У нас вроде нет понятия коллективного иска.
И тут все очень сложно — нужно подавать иск против конкретного гос органа а с этой помойкой данных хер поймешь на кого. Тем более если ты не найдешь себя в открытой части данных (а я не нашел) то еще придется признать что ты заплатил хакеру что тож чревато.
Да и наказания там так себе

В украинском законодательстве есть понятие коллективного иска. Ну если вы боитесь — ваше право

Прямо сейчас есть небольшое окно, чтобы доказать что утечка настоящая.
Пока разработчики портала дия не замели следы и не переделали id/авторизацию. Я думаю это будет сделано в течении нескольких часов.
Сейчас это очень просто.

Вы выбираете из базы нескольких людей.
Звоните и им и как-то договариваетесь что они пошарят вам экран и при вас зайдут в дию.

Нужно сделать эти действия (скопировал из своего поста):

— Логинитесь в web дию.
— Открываете инспектор
— Находите token в localStorage. Это JWT токен. Копируете его prnt.sc/26hhve7

Идёте на jwt.io, декодируете токен, извлекаете userId prnt.sc/26hhwbu

Если userId совпадает с тем, что в сэмпле БД — утечка настоящая (ну или будем слушать байки про случайность совпадения двух 24знаковых строк в разных базах данных / или истории про утечки через плагины в браузерах).

Пока разработчики портала дия не замели следы и не переделали id/авторизацию. Я думаю это будет сделано в течении нескольких часов.

Ви занадто високої думки про цих «погромістів»

Пока разработчики портала дия не замели следы и не переделали id/авторизацию. Я думаю это будет сделано в течении нескольких часов.

Тобто знаючи userId можна залогуватися під цим користувачем?

Зная userId можно доказать что утечка связана с Дией.
Как выяснилось ниже первые 8 символов (4 байта) в userId — это дата первого логина в web дию.

Если сейчас зайти на сайт my.diia.gov.ua и посмотреть в консоль, то там есть три запроса: cabinet-api.diia.gov.ua/...​ustom/diia/october/header
cabinet-api.diia.gov.ua/...​m/diia/october/categories
cabinet-api.diia.gov.ua/...​ustom/diia/october/footer

Которые возвращают 500-ую, с текстом «connect ECONNREFUSED 195.189.240.70:443»

Интересно... Это забыли выпилить интеграцию с OctoberCMS или она таки используется там?

меня еще крайне смущают заголовки access-control-allow-origin: * на cabinet-api.diia.gov.ua, что, по сути, означает, что запросы на оригинальный апи дии может делаться с любого фишингового сайта.

Плюс постоянно долбится на https://localhost:8083/, что немного смущает

Да, локальный запрос на проде тоже улыбнул

Теоретично може бути в одному кластері або одному докер нетворку чи ще щось таке.

Если зайти на страницу my.diia.gov.ua и посмотреть в консоль, там будет запрос на https://localhost:8083/

Т.е. это будет работать только для того, у кого на машине есть какой-то запущенный сервис на 8083 порту.

Но скорее всего это просто забыли выпилить.

может быть они так с аппкой коммуницируют, если она установлена.

Наприклад, для підпису чи для смарт-карт яких

Что-то вроде известного мема?
> I don’t always test my code but when i do it’s in production

Выглядит странно, а возможно даже открывает какие-то уязвимости. Тут конечно нужно знать логику и протокол, но если можно показать в приложении какую-то левую инфу просто подняв локально сервер на этом порту, то уже достаточно серьезная уязвимость.

если кто-то посторонний может поднять локальный сервер, то ему уже не важно всё остальное.

скорее всего там банальщина — типа открыть аппку, если она установлена и слушает порт.

Решил проверить.... Меня смущает что id пользователя коррелирует (увеличивается) вместе с createdAt.
Это какой-то фреймворк такой?

Я ТОЧНО помню когда я первый раз зашёл в дию НА САЙТЕ.
Это было через пару минут как я получил ЭЦП от приватбанка.
ЭЦП от приватбанка у меня сохранена файлов .
И время создания там 24.09.2021 14:10 (это по Киеву, а в UTC 24.09.2021 11:10)

— Логинюсь в web дию.
— Открываю инспектор
— Нахожу token в localStorage. Это JWT токен. Копирую его
prnt.sc/26hhve7

Иду на jwt.io, декодирую токен, извлекаю userId
prnt.sc/26hhwbu

Делаю запрос из сэмла
SELECT u.«userId», u.«createdAt»
FROM users u
ORDER BY u.«createdAt»

Вижу что userId очень коррелирует с createdAt
Как и ожидалось мой id 614dae** оказывается между 614dac** и 614db5**
И как раз между датами 2021-09-24 10:46:15 и 2021-09-24 11:24:01
prnt.sc/26hi4jq

Получается алгоритм формирования id в сэмле, и в реальной дие — одинаковый.
Может это совпадение и такой алгоритм сейчас часто используется (или распространён в каком-то фреймворке), но меня смутило.
Это плюс в копилку аргументов того, что это реальная утечка.
А если это так — то утечка свежая (последняя запись в сэмле по updatedAt 2021-12-24)

Вроде и так, а вроде и:
613f0bbf3a******e169dab6 — 2021-09-13 08:28:47.460324 +00:00
613f0bbf6b******e1b71f45 — 2021-09-13 08:28:47.189007 +00:00

Но во всех 1710 случаях, когда следующий элемент c большим ID идет с меньшей датой регистрации, чем у предыдущего, речь идет о разнице меньше одной секунды.

Так что, думаю, вы правы. А исключения это особенность работы транзакционного механизма, или что-то такое.

Спасибо. Вы меня натолкнули на идею.

А исключения это особенность работы транзакционного механизма, или что-то такое

В вашей записи чётко понятно что одинаковые первые 8 символов.
Мы видим что это HEX алфавит.
Значит 8 символов это 4 байта.
А раз 4 байта — это может быть integer.

Открываем калькулятор, вводим 613f0bbf и конвертируем в десятичное
Получаем 1631521727
А вот это выглядит как unix время.
Идём сюда www.unixtimestamp.com и конвертируем в дату
Получаем
Mon Sep 13 2021 08:28:47 GMT+0000

Всё сходится.
Получается первые 4 байта — время createdAt с точностью до секунды (но без микросекунд).
Дальнейшие байты — о чём-то другом.

это objectId, который формирует MongoDB. По сути — timestamp (docs.mongodb.com/...​od/ObjectId.getTimestamp)

А я все искал, какие БД генерируют 24 байтные ID-шники с 4-мя байтами unix timestamp в начале... )

Спасибо, чувак :)

⚡️⚡️⚡️Мені в ЛС написав користувач форуму який стверджує що в дампі є його дані та ID збігається з тим що видає сайт дії. Також, він стверджує що дата created_at співпадає з датою коли він вперше відкрив сайт дії!

Спасибо.
Если это действительно так — я бы сделал вывод что утечка произошла из системы Дия (или как бы не называлось вот то всё, где хранится вся информация после входа в дию).
Как чуть выше выяснилось, первые 8 символов id — дата и время регистрации в системе на сайте (это я ещё и по своему JWT токену проверил). А кроме как в дие в это время я нигде не регистрировался.

я бы сделал вывод что утечка произошла из системы Дия

Можливо Дія шерить цей ідентифікатор з іншими системами.

Значит ИЛИ дия ИЛИ система, в которую Дия передала данные.
Но получается это точно свежая утечка и точно не из рандомных данных.

А ребята из китсфота таки красавчики!

личные данные 32 тыс человек (включая 13 659 номеров телефонов) до сих пор лежат в публичном доступе 🙂

i.ibb.co/...​2022-01-23-at-2-48-32.png

АХАХА Published 5 years ago
свой номер нашел, ну да похер
и 28 должностных лиц, депутатов
в семпле дампа дия — 269

Знайома теж підвердила. createdAt співпадає, але userId перевірити не змогли.

Продублирую и здесь.

В 2016 Червнозаводской район Харькова был декоммунизирован и теперь он Основянский.

Какие шансы того что авторы фейка настолько заморочились правдоподобием что у людей с адресом проживания на одной из улиц этого районе будет указано что паспорт выдан Червонозаводским РВ УМВС? Как по мне очень шансы малы. Особенно учитывая что в дампе адреса и Киева, и западных областей и таких вот моментов надо учесть ооочень много.

Плюс фейковость всё равно всплыла бы попробуй кто-то проверить запись — ведь и емейлы, и номера телефонов и адреса людей указаны.

попробуй кто-то проверить

Це зроблять одиниці, — це слабкий аргумент

Для подтверждения реальности достаточно чтобы один человек чьи данные нашлись — набрался смелости и подтвердил это.

Вже з десяток осіб напідтверджували

Тепер почекаю поки розумні і знаючі напишуть, що це було

розумні і знаючі напишуть, що це було

Організований СБУ фейк щоб ідентифікувати п’яту колону в суспільстві

Только вот доукменты выданые этим Червонозаводским РВ УМВС датированы *до* 2015 года.
Вас не научили читать поле passport_issue_date или не научили, что врать нехорошо.

у Шона на публікації 1.3к комментів
www.facebook.com/...​ht/posts/1360403067741381
більшість з них — це коменти типу «фейк» та «не ведіться».

К Шону ботоферма набежала. В первой половине дня там вполне читабельная дискуссия была.

Ну Фьодоров вирішив підписатися під тим що витік даних реальний. Ідіот.

Крутая ботоферма у них на фейсбуке. Небось на том же форуме прикупили

не, періодично бачу об’яви про покупку аккаунтів у фб, за кілька сот грошей дається доступ к твоєму реальному аккаунту і з нього пишуться комменти.
наскільки я знаю, це на сьогодні, найбезпалівшніший варіант ботофермити. генеровані аккаунти довго не живуть.

Зібрали більше інформації тут: dou.ua/...​news/diia-data-leak-2022

Круто да? И эти люди Пороха за гос измену судят

Ну Порох рано чи пізно відібється, а далі Зелемському тре ховатись в жито

Код CMSки указывает на неких KitSoft, хз каким боком там EPAM.

эти пацанчики занимались вебнёй, а ерат занят мобильным приложением и интеграцией с реестрами, начиная с водительских прав и т.д.
собственно там даже услуги по разному работают, типа фоп деклараций

С другой стороны помню был движ, что бы ПО гос услуг делать сразу открытым. Не данные, а код

Багато де в Європі давно так. Логічно, бо код створений за гроші платників податків. Більше того, там ще відтворюваними збірками буває заморочуються, порівняно з нами це наступне тисячоліття: github.com/...​in/REPRODUCIBLE_BUILDS.md

Шановний хакер, у мене є особисте прохання — нажми кнопку прислати мені Квитанція 2 по декларації додатку ЄСВ. Нажаль офіційний запит ігнорують, тож надія лише на тебе. Тобі ж не важко в процесі зливання реєстру виділити на це хвилинку? Дякую!

Зробити квест з 12 циферок — це треба хист мати. В геймдев цих хлопцiв!

Оце небачена інфляція в країні.

15000 / 2000000 = 0.0075. меньше цента за полную инфу по человеку. Разведи звонком одного из ста на один доллар и даже так будет будет гешефт

Что-то мне подсказывает, те кто купил за 15к, теперь могут и продать за 15к.

upd: мені пишуть що це скам, а дані не з Дії, а з якогось з українських банків.

Який банк практикує запис ел.адрес користувачів, особливо літнього віку, 60х років народження і тд, які напевно свою ел.адресу й не згадають при візиті в банк? Приклад — [email protected] \N Володимир Квітовський Петрович 1960-05-28 \N \N

И хранит заявы например по eMалятко

І тут ми плавно підходимо до того, що в Дію можна залогінитись через BankID й у випадку зламу чи злочинної змови представитись фізособою в системі може КОЖЕН з 39 банків-ідентифікаторів і не понесе він за це ЖОДНОЇ відповідальності.

Дамп бази не від цієї CMSки, і мабуть навіть не з Дії. Це може бути якісь реєстр ФОПів.

Архів фото, взагалі хз звідки він. Дія таким не займається. Там тематика скоріше ПФ.

Це може бути якісь реєстр ФОПів.

Там є колонка «isIndividualEntrepreneur» по якій лише 3500 записів за даними ФОП. Все інше то особисті дані.

Не может это быть реестр ФОП-во: в дампе данные людей не являющихся ФОП-ами.

Первый попавшийся json распарсился как полные данные о даме и её родах в Одессе в декабре 2020 года. Девочка, здоровенькая, даже сертификат подписанный дией есть, еМалятко который.

Да, уже и по idшникам проверили.

Вчера когда это писал, погрепал названия полей таблицы в коде CMSки.

шо прямо з полями на дітей eBabyAdminRegistry та «childBornAlive»: true?

це що за банк такий? а може іксперти, які вам пишуть з пулу ботоферми коломойскього?

А звідкіля у банка данні про закордонний паспорт?

Колись в анкеті Привата був такий пункт (не знаю чи є зараз) й я на нього відповідав

Перши раз чую таке. 8) По молодості мав багато рахунків в різних банках, жодного разу не питали про закордонний паспорт. %)

Питають, коли хочеш отримати спеціальні умови. Особливо часто питають при отриманні кредита на певні суми.

Схоже на те. Всі в кого є закородонний в дампі не мають українського

Через пару дней поймают хакера, будет видео задержания, как в пропорции «10 полицейских выбивают дверь продавцу базы в пожухлом подъезде».

Народ обрадуется, успокоится, всхрюкнет и направится дальше смотреть «дизель-шоу» и «мама хохотала»

А кто-то качал большой архив на 10 гигов? Интересно что там

Вытянул часть, немного посмотрел. Это zip архив с фото разных документов. Очень разными фото очень разных документов. Паспорта (старые и новые карточки), трудовые (много), дипломы, какие-то справки на тему места работы.

IMO не имеет вообще никакого отношения к ДіЇ.

має пряме.
якщо подумаєте як саме дія праціює з документами та людьми, які пишуть у дію і запитують, «а чому мого посвідчення у вас немає»

Мені важко уявити ситуацію коли з Дії був би запит надати фото записів трудової книжки. Не обкладинки, саме записів всередині. Можливо я чогось не знаю про Дію.

А там ничего не прикручивали для пенсии?

Вроде был какой-то анонс, искать прямо сейчас лень.

На сайте Пенсионного фонда можно передать фотографии своей трудовой книжки для того чтобы включить данные о стаже. Я сам пытался это делать, но там на сайте фонда требуется аутентификация через электронную подпись — я забил.

Дія має доступ до неназваної кількості державних реєстрів. Що тут уявляти?

Через портал дія можна подавати заяву у службу зайнятості. для того, щоби стати на облік як безробітний — потрібно надіслати через портал скани/фото трудових

А как вы объясните наличие якобы в Дии левых фотографий пляжа, каких-то семейных посиделок, скриншотов из «World of Warcraft» и т.д? Да-да. Это всё есть в том семпле на 10 гигов.

А как вы объясните присутствие там данных реальных людей?

Наборы для ML

Це не важко пояснити: що люди завантажили, то і в базі. Чи ви думаєте дисципліновано і безпомилково всі завантажують те, що треба?

Ты знаешь — это как-то не успокаивает. Там в отчетах мелкомягких говорилось что позаражали и рабочие станции не только сервера
Возможно собрали сканы с жестких дисков чиновников или файловых шар ЦНАПов

Вот «файлопомойка ЦНАПов» это гораздо ближе по тематике, чем то что я бы ожидал увидеть в Дії.

Мощный взлом Дии, все данные пользователей продают одним архивом за 10 BTC. С их практиками безопасности это будет неудивительно

dou.ua/forums/topic/35930

Остальным приготовиться

Следующее событие
«Одна из крупных галер одномоментно уволит так много народу, что будут разгонять волну о том как хороши гиги/кзоты (умалчивая, что и там и там можно сделать то же самое)»

Ніхто так не зіпсує хорошу ідею цифрового документообігу, як дурні, які активно беруться її реалізувати.

Вони спішать, хочуть встигнути до другого терміну всенародного любимця.

В Україні не дають двох термінів. 15 років, не більше.

Бо на першому місці там має бути: а) приватність; б) безпека, а не «роль кібербезпеки перебільшена»

Не плутай систему цифрового документообігу із примусом нею користуватися.

та продають їх за 15 000$

Можно сэкономить на бакапах, а если что-то навернётся, купить у хакеров.

Более того, если номер телефона уведут, можно будет сослаться на слив. Жаль не полностью.

Отец в дие, последние пару дней телефон начали досить мошенники, теперь понятно почему. Надеюсь после следующих выборов вся зеКоманда сядет пожизненно.

реально посадить клоуна вместо петьмана было бы хорошим стартом новой модели социального договора, как в южной корее

реально посадить клоуна вместо петьмана

Why not both?

та можно, но тогда и Кучму и Литвина надо сажать за Гонгадзе
а тупой бесячий клоун продолжает их дела

Как минимум на минцирке есть политическая ответственность, и в нормальной стране бы отправили бы в отставку министра на время следствия, но все мы знаем что Самый Справедливый Суд в Мире, — печерский, такой же справедливый как и советский проигнорирует даже попытку открыть дело и начать расследование.

Короче, любимый народ, это всё — громадная провокация, которую спровоцировали сами граждане Украины тем, что сами, со своих телефонов, передавали каким-то Серым Верам свои данные по вражеской, неправославной технологии с использованием (косит на бумажку) икс... тут непонятно... эм и эл... хм... йолка, короче говоря. Наши безопасники в безопасности, а ваши — мы не знаем. Все меры уже предприняты, а мы уже предпринимаем новые меры. Мы уже связались с Кам’янка-Бузьким сектором Буського МРВ ГУДМС України у Львівській області и зачистили всех носителей этих данных. Диджей.... диджитализация паперёд усего. Дякаю всем, трымаемося, чоуж.

Они сами их и продают. Сначала раздают знакомым олигархам , потом своим фирмам-потом на продажу. У них лозунг один-максимальная прибыль с должности. Выжать по максимуму. Операция Ы не прекращается.

Кстати, семплы рекомендую взять всем, у кого есть нейросетки. На обучение.

Як і варто було очікувати, Мінцирк відбрехується. Їх офіційна позиція:

шахраї продають старі дані, що скомплектовані з багатьох джерел, які були злиті до 2019 року

Що є очевидною брехнею, бо на перших же скрінах, які встигли зробити були дані з еМалятка за кінець 2021 року.

Він не зберігає персональних даних, а лише відображає те, що зберігається про них у відповідних державних реєстрах

А тут брехня разом із маніпуляцією, зламали ж не додаток (кого, окремої людини?) а їх бекенд. Багато разів повторювана брехня про Дію, яка не зберігає даних є брехнею хоча б тому, що у випадку логіну через BankID вона має зберігати протокол обміну з BankID 45 діб.

Слава богу, у меня хватило ума не регистрироваться в этой помойке.

це ніяк не відміняє того що ваші дані в реєстрах ;)

Будто это как-то защищает от того что через Дию твои данные могли быть слиты.

Дия как раз упирает на то что она не хранит данные, а получает их из внешних источников. А значит те кто смогут получить доступ на сервера Дии смогут получить доступ к тем же источникам к которым у Дии есть доступ и источники даже не факт что заметят это.

Что там и как происходило — мы не знаем. Но простенькую базу с полисами восстанавливали почти неделю, часть сервисов МТСБУ, например электронный европротокол, лежит до сих пор. Это косвенно намекает на уровень скилов тех кто это всё обслуживает.

К слову Дия (электронный кабинет на сайте), заработала только в четверг к концу дня, тоесть лежала дольше чем реестр полисов автогражданки.

Это все гадания на кофейной гуще. Почему-то хакеры слили данные двух миллионов пользователей, а не 40 миллионов человек или сколько там.

это могли быть id паспорта, бардак с цифровыми реестрами никто не отменял

Судя по картинкам которые запостили люди ковырявшиеся в этих данных — там редис с сайта Дии. А редис это обычно кеш, а не главная база данных. Потому два миллиона могут быть просто данными кеша.

Но кроме Дии обещаны данные с Хелси и кабинета водителя, а также других сайтов.

там редис с сайта Дии

Ні, там постгрес. Скачайте семпл, подвіться самі.

Я сужу чисто по картинке где было написано редис. Мог и ошибиться.

Честно говоря меня больше интересуют хелси и кабинет водителя, жду когда будут семплы для этих сайтов.

Я сужу чисто по картинке где было написано редис. Мог и ошибиться.

На картинці яку ви бачили у фейсбуці, .env файл із змінними оточення якогось серверу (ймовірно дії). Там є конекшн і до редісу і до пг.

Те що продають: то дамп постгресу + дамп фото документів у base64, які ймовірно теж зберігаються у постгресі.

Інфа з ковідних сертифікатів, структура та поля співпадають з формами НСЗУ

Там є поля з updated_at ще до того як почалась вакцинація та до того як почали видавати сертифікати.

Це чудово, але:

  1. Хто має нові паспорти, автоматично має обліковку в Дії, навіть якщо ніколи туди не заходив
  2. Дія шариться по неназваній кількості інших реєстрів й у випадку зламу Дії може повитягати дані людей, які в ній ніколи не реєструвались

Паспорт мне тоже хватило ума не менять.

А загран, права есть? Значит ты есть в системе.

Нет. Я просто неуловимый Джо.

У меня данные в реестрах появились после оформления МВУ. До этого не светился даже чипованный загран — видно оформил до того как их стали добавлять в реестры.

Яка різниця. Паспорт книжечка все рівно є в my.diia.gov.ua/profile (або з’являється після першого входу через BankID).

Ну, тут принаймні можна не входити. Але, справді, вони зробили все можливе, щоб напхати туди якнайбільше людей

Я зайшов, бо треба був COVID сертифікат. Не знав, що у сімейного можна взяти :(

Я брав паперовий у сімейного. В нього, приватного, між іншим, в черзі ледь не до бійки дійшло :) Повний коридор людей з яких половина — гарантовано хворі на ковід і в соплях — намагається отримати лікарняний зі своїм тестом, половина хоче отримати направлення на тест, всі намагаються дізнатися так що там з лікарняним, вони ж об’єктивно хворі і мають на нього права. Окрема велика група — ті, хто прийшов підписувати декларацію, бо без декларації немає сертифікату, а без сертифікату — транспорта. Було, коротше, весело. Все це «м’який примус» там зареєструватись, як і зєліна тисячі з наших податків яку в теорії колись-то обіцяють дати, але якщо зараз — то тільки через Дію.

Этот наброс уже боян. Всю его суть можно выразить фразой: «вы представляете, у EPAM есть филиал в России!».

Откуда у тебя этот нездоровый скепсис к торчащим из запоребрика ушам?
Уже давно должен быть рефлекс «видишь — стреляй на поражение», а не вот эти заискивания.

Откуда у тебя уверенность в наличии у тебя телепатических способностей?

Михайло, давай обсуждать доказательства из статьи которые опровергают моё резюме по ней. Обсуждать мои личные мотивации — не надо.

Та то бот із Сколково пише, не стісняйтеся, кажіть як є.

В Сколково ще нема бота. Якби був, я б із ним поспілкувався, навчив нових слів :)

Вы представляете, этому филиалу как юрлицу выдали доступ. Это не баян, это мать его, история твоей страны. Которую ты должен знать. И совсем даже не из телевизора — прекрасно понимая, кому принадлежат телеканалы.

Точно так же и слив данных госреестров всем желающим мошенникам — при том что государство вовсю торгует бланками документов государственного образца через телеграм ботов. Но бланки-то настоящие. Соответственно и данные документов, которые на них нанесены, тоже будут настоящими, и породят вполне даже правоустанавливающие документы.

Нужно наверное паспорт Венгрии сделать на всякий случай.

Венгерский быстрее и проще выучить, чем найти того, кто сделал вояж по МФОшкам.

Як в радянському союзі: замість того що визнати помилки, витік та вжити заходів будуть казати що те все провокація-компіляція та ніякого зламу не було.

Брехати можна, але врешті-решт правда спливе.

Брехати можна, але врешті-решт правда спливе.

Если в ближайшее время будет всплеск непонятных звонков от службы безопасности банка и прочие попытки социальной инженерии, значит очень вероятно утечка была.

Чем еще их можно стебать, кроме «Вечер в хату»?
На звонки с незнакомых номеров не отвечаю вообще и гуглю их прежде, чем перезванивать, но мало ли.

Я вообще не перезваниваю на незнакомые номера. Кому нужно позвонят еще раз. И в телефоне включен антиспам (гугл звонилка), он отмечает номера возможных опасных номеров. Те, что звонили и оказались мошенниками сразу блочу.

Уже сказали.

«Оголошення про продаж „злитих“ даних українців внаслідок кібератаки є провокацією та продовженням гібридної війни». У «Дії» запевняють: дані 13,5 млн українців під надійним захистом у держреєстрах. Урядовці заспокоюють: то не справжними даними нині торгують в онлайні, то шахраї продають старі дані, скомплектовані з багатьох джерел, злитих до 2019 року."

Как-то так.

В базі є паспорти видані після 2020 року, наприклад такий: «pn КС 891540 2021-04-27 Кам’янка-Бузьким сектором Буського МРВ ГУДМС України у Львівській області». Отже заяви мінцифри про провокацію та фейк—ймовірно не відповідають дійсності.

можливо виток даних з певного банку було об’єднано з інформацією, що вже є в відкритому доступі. А банки в нас дуже часто зливають інфу (співробітники).

Это как правильно читать — не волнуйтесь с дия все хорошо все хорошо, из госреестров слили детальные личные данные 2 млн украинцев?!
Напрочь отмороженные дебилы из минцифры.

провокацією

Видимо этим волшебным словом уже можно оправдывать что угодно)

В цьому є певний позитив. Ймовірність запровадження «онлайн голосування» на наступнийх виборах знизиться.
Бо ця ідея нереально дибільна і небезпечна

Ця ідея не більш дебільна ніж ця влада.

Дибільними і небезпечними є люди, які вважають, що електронне голосування можна підробити.
От тільки проблема в тому, що щоб підробити блокчейн, треба підробити дані 50% голосів + 1 голос. А це неможливо.
Чим більше провокацій на тему «електронне голосування — це погано, бо тут в черговий раз викрали базу Дії» — тим більше вам водять статевим органом по губах.
У незапровадженні електронного голосування в першу чергу зацікавлена влада, бо це унеможливить фальсифікації в принципі. Не плутайте блокчейн з базою даних, залиште це імбецильним мавпам

От тільки проблема в тому, що щоб підробити блокчейн, треба підробити дані 50% голосів + 1 голос. А це неможливо

А че вы решили что блокчейн будет открытый? А не приватный, все ноды-валидатора которого будет контролировать МЦТ или ЦВК?

К тому же вектор атаки здесь может быть на строне авторизации. Как это было в стране-агрессоре, когда просто логинились за другого человека и голосовали.

Зареєстрований 22 січня

С регистрацией.

От тільки проблема в тому, що щоб підробити блокчейн, треба підробити дані 50% голосів + 1 голос. А це неможливо.

Минцифры уже с ботами давно работает, ему не будет трудно авторизировать 51% ботов в блокчейне чтобы подделать голосование.
Тем более, если они не смогли сделать сервис Дії без дыр, то как они будут внедрять кольцевые подписи для обеспечения тайны голосования в публично доступном блокчейне? Опять облажаются с секьюрити.

> С регистрацией.
Я просто проходив повз)
> не будет трудно авторизировать 51% ботов
Це не проблема, якщо у кожного виборця буде свій електронний підпис, який йому видаватимуть разом з паспортом... Хоча, змушений з вами погодитись, некомпетентність може перетворити на діряве відро навіть найнадійнішу технологію.

Блокчейн — ні разу не автоматично надійна чи взагалі підходяща технологія для електронного голосування. Є купа про це статей і відео, навіть на ДОУ посилання на них публікувалися багато разів.

Харків’яни готові вибрати мером труп Кернеса. Як тут поможе ЕЦП?

От тільки проблема в тому, що щоб підробити блокчейн, треба підробити дані 50% голосів + 1 голос.

Тут одні агресивні сусіди легко впоралися з цією задачею. Вони просто не опублікували блокчейн.

У росіян запитайте, як їм електронне голосування допомогло...

Не плутайте блокчейн з базою даних, залиште це імбецильним мавпам
Дибільними і небезпечними є люди, які вважають, що електронне голосування можна підробити.

Ну да, конечно же «нельзя». Только вот даже среди жителей нашего северного соседа недавно нашлись те, кто убедительно доказал, что это не так. Хорошо, что пока что на их собственном примере:
habr.com/ru/post/579350
novayagazeta.ru/...​icles/2021/09/24/deg-shou
www.facebook.com/...​y/posts/10224328921105036
Ну и так далее, и тому подобное.

З.Ы. По мотивам этого скрина вопрос — а у ботов Минцифры есть хоть обеденный перерыв, по КЗоТу работаете?)

Блокчейн не можна підробити. Але роздати пару мільйонів фейкових ключів зареєстрованих на «мертві душі» ще і як можна.
Крім того, має бути таємниця голосування. Технологія для цього складна і запутана з своїит «підводними каменями».
Ну і банальні

50% голосів + 1 голос

це взагалі не проблема для таких гравців як росія. Якщо їм треба буде то організують це.