Повідомляють про масштабний злив даних користувачів «Дія», Мінцифри це заперечує. Що відомо (оновлюється)
У мережі з’явилась інформація про нібито продаж на форумі RAID особистих даних двох мільйонів українців, що зберігались сервісом «Дія». Вартість даних — $ 15 000, продавець — користувач під ніком FreeCivilian.
На підтвердження правдивості своїх слів FreeCivilian виставив кілька файлів різного розміру: емейли, ІПН, номери телефонів, дані паспортів та банківських карток, а також фото документів українців. Крім того, є закрита інформація державного підприємства «Дія» та всі файли структури порталу «Дія».
Хакери також анонсують продаж даних з порталів health.mia.software, minregion.gov.ua, wanted.mvs.gov.ua, e-driver.hsc.gov.ua, court.gov.ua.
Скріншот Володимира Пасіки
Дані — справжні?
На думку Володимира Пасіки, розробника «Джури», це може бути спробою російських хакерів замаскуватися під «комерційних» хакерів, а сам факт «зливу» на День Соборності — цілком типовий для російських спецслужб.
«Дані „живі“. Дамп сайту показує, що це продукт фірми Kitsoft. В логах сайту останній запис станом на 2019, а в базі грудень 2021. Якщо підсумувати, то красотуни зробили пачку критично важливих державних сайтів на платформі OctoberCMS, яка по факту є „надбудовою“ над Laravel Framework і не славиться надійністю і стабільністю.
Можливо, виломали лише портал Дія, а не додаток.
Як результат — пачка виломаних сайтів, а Дію просто вкрали, разом з даними користувачів (які вони типу не зберігали) і файлами самого сайту», — написав Володимир Пасіка на своїй FB-сторінці.
У коментарях до допису Kitsoft надав відповідь: «Колеги, портал Дія не використовує October cms і працює взагалі не на php, а на іншому стеку технологій. Дані цілком ймовірно можуть бути компіляцією раніше опублікованих витоків. Давайте дочекаємось офіційної інформації, перш ніж робити висновки».
Чи дані — це підробка?
Влад Стиран, експерт з кібербезпеки, висловив підозру, що це контрольований злив даних, отриманих в рамках зламу Kitsoft та його клієнтів.
«Чи достатньо легітимно виглядає семпл „злама Дії“, щоб його захотілося купувати для подальшого аналізу? Ні. На даркнет-форумах регулярно з’являються так звані „зклейки“ даних з раніше зламаних джерел, які видаються продавцями за справжні результати свіжих операцій. Свідчити про такий „розвод“ можуть розбіжності в форматах даних, низька репутація продавців на форумах, низька ціна дампів тощо.
Наприклад, SQL-вибірка користувачів з „утєчкі з Дії“ поки виглядає як шахрайство в даркнеті. Занадто багато імен громадян України починаються на „ФОП“ та інші нестикування в дрібницях.
Проте, „вихідний код Дії“ виглядає як OctoberCMS, тобто можливо, це вебсайт Дії, який розробляв підрядник. Також, з параметрів конфігурації, таких як IP-адресація та налаштування сервісів, схоже, що це розробницька або тестова версія сайту.
API Дії як такої в семплі ніде немає. Це легко перевірити, бо відкрита частина API опублікована в рамках Bug Bounty програми Дії.
JSON-семпл виглядає більш легітимно. Я не дуже активний користувач Дії, але поєднання в одній структурі даних інформації про геть різні аспекти діяльності людини (підприємництво, банківські реквізити та сімейний стан) трохи напружує. Проте, структура документів неоднорідна: таке враження, що вони були експортовані з геть різних джерел. Можливо це дамп з Redis, який якраз використовується для кешування різнорідних даних. Але не виключаю факту підробки», — написав Влад Стиран у своєму FB-акаунті.
Мінцифри закликає зберігати спокій, а Федоров анонсує єЗахист
У Мінцифри заперечують злив даних і називають це провокацією на тлі гібридної війни. Мета — «підірвати довіру до влади фейками про вразливість критичної інформаційної інфраструктури та «злив» даних українців".
"Нагадаємо, що користувачами мобільного застосунку Дія є 13,5 млн українців. Він не зберігає персональних даних, а лише відображає те, що зберігається про них у відповідних державних реєстрах. Відвідувачами порталу Дія є понад 13 млн українців, а не 2 млн, як зазначається в оголошеннях.
Закликаємо українців не піддаватися паніці. Усі персональні дані перебувають під надійним захистом у держреєстрах. А оголошення про можливість купити дані, отримані після зламу 14 січня, є аферою: шахраї продають старі дані, що скомплектовані з багатьох джерел, які були злиті до 2019 року.
Зараз українські кіберспеціалісти мають об’єднатися, щоб протистояти загрозі та нейтралізувати противника«, — йдеться в офіційному повідомленні Мінцифри.
Крім того, віцепрем’єр-міністр, міністр цифрової трансформації Михайло Федоров анонсував запуск «єЗахисту» в «Дії», де українці зможуть дізнатися, в яких реєстрах є інформація про них.
«Ми ухвалили рішення запустити найближчим часом послугу єЗахист в додатку „Дія“. Де кожен громадянин зможе дізнатися базові правила кібербезпеки, в яких реєстрах є інформація про них. Наступним кроком буде запуск сервісу, де кожному українцю приходитиме повідомлення, коли чиновник перевіряє ваші дані в реєстрі», — написав Федоров у своєму Telegram-каналі.
Він наголосив, що застосунок «Дія» не зберігає персональні дані, тому, коли користувач авторизується в ньому, документи підтягуються заново, COVID-сертифікат також потрібно генерувати повторно.
Тим часом Гільдія ІТ-фахівців звернулась до Мінцифри та керівників «Дії» із закликом не ігнорувати думку ІТ-спільноти України та вживати заходів, коли трапляються подібні прецеденти.
UPD
Олександр Федієнко, депутат Верховної Ради та заступник голови Комітету з цифрової трансформації та голова правління Інтернет-асоціації України зазначив: «Так, дійсно, певний виток інформації стався. Під підозру поки що підпадають ряд державних установ-розпорядників цієї інформації». Він також запропонував «скинутись і придбати» дані, щоб подивитись, «що там вони надампили».
«Я вже поставив завдання помічникові підготувати відповідні звернення. У зв’язку з чим пропоную надати професійно грамотні питання до відповідних державних (інших) установ щодо природи витоку і наскільки він пов’язаний з „Дія“ та „Трембіта“. Питання прошу надсилати помічникові, він узагальнить і підготує звернення. За результатами буде повідомлено», — написав він.
UPD 2
У Департаменті кіберполіції Національної поліції України повідомили, що інформація про витік даних із порталу «Дія» не відповідає дійсності.
За версією правоохоронців, подібні інформаційні фейки є нічим іншим, як елементом гібридної війни та спробою дестабілізувати ситуацію в державі.
Обговорюємо також на Форумі DOU.
Найкращі коментарі пропустити