Повідомляють про масштабний злив даних користувачів «Дія», Мінцифри це заперечує. Що відомо

У мережі з’явилась інформація про нібито продаж на форумі RAID особистих даних двох мільйонів українців, що зберігались сервісом «Дія». Вартість даних — 15 000 доларів, продавець — користувач під ніком FreeCivilian.

На підтвердження правдивості своїх слів FreeCivilian виставив кілька файлів різного розміру: емейли, ІПН, номери телефонів, дані паспортів та банківських карток, а також фото документів українців. Крім того, є закрита інформація державного підприємства «Дія» та всі файли структури порталу «Дія».

Дані — справжні?

На думку Володимира Пасіки, розробника «Джури», це може бути спробою російських хакерів замаскуватися під «комерційних» хакерів, а сам факт «зливу» на День Соборності — цілком типовий для російських спецслужб.

«Дані «живі». Дамп сайту показує, що це продукт фірми Kitsoft. В логах сайту останній запис станом на 2019, а в базі грудень 2021. Якщо підсумувати, то красотуни зробили пачку критично важливих державних сайтів на платформі OctoberCMS, яка по факту є «надбудовою» над Laravel Framework і не славиться надійністю і стабільністю.

Можливо, виломали лише портал Дія, а не додаток.

Як результат — пачка виломаних сайтів, а «Дію» просто вкрали, разом з даними користувачів (які вони типу не зберігали) і файлами самого сайту», — написав Володимир Пасіка на своїй Facebook-сторінці.

У коментарях до допису Kitsoft надав відповідь: «Колеги, портал Дія не використовує October cms і працює взагалі не на php, а на іншому стеку технологій. Дані цілком ймовірно можуть бути компіляцією раніше опублікованих витоків. Давайте дочекаємось офіційної інформації, перш ніж робити висновки».

Чи дані — це підробка?

Влад Стиран, експерт з кібербезпеки, висловив підозру, що це контрольований злив даних, отриманих в рамках зламу Kitsoft та його клієнтів.

«Чи достатньо легітимно виглядає семпл «злама Дії», щоб його захотілося купувати для подальшого аналізу? Ні. На даркнет-форумах регулярно з’являються так звані «зклейки» даних з раніше зламаних джерел, які видаються продавцями за справжні результати свіжих операцій. Свідчити про такий «розвод» можуть розбіжності в форматах даних, низька репутація продавців на форумах, низька ціна дампів тощо.

Наприклад, SQL-вибірка користувачів з «утєчкі з Дії» поки виглядає як шахрайство в даркнеті. Занадто багато імен громадян України починаються на «ФОП» та інші нестикування в дрібницях.

Проте, «вихідний код Дії» виглядає як OctoberCMS, тобто можливо, це вебсайт Дії, який розробляв підрядник. Також, з параметрів конфігурації, таких як IP-адресація та налаштування сервісів, схоже, що це розробницька або тестова версія сайту.

API Дії як такої в семплі ніде немає. Це легко перевірити, бо відкрита частина API опублікована в рамках Bug Bounty програми Дії.

JSON-семпл виглядає більш легітимно. Я не дуже активний користувач Дії, але поєднання в одній структурі даних інформації про геть різні аспекти діяльності людини (підприємництво, банківські реквізити та сімейний стан) трохи напружує. Проте, структура документів неоднорідна: таке враження, що вони були експортовані з геть різних джерел. Можливо це дамп з Redis, який якраз використовується для кешування різнорідних даних. Але не виключаю факту підробки», — написав Влад Стиран у своєму FB-акаунті.

Мінцифри закликає зберігати спокій, а Федоров анонсує єЗахист

У Мінцифри заперечують злив даних і називають це провокацією на тлі гібридної війни. Мета — «‎підірвати довіру до влади фейками про вразливість критичної інформаційної інфраструктури та «злив» даних українців»‎.

«Нагадаємо, що користувачами мобільного застосунку «Дія» є 13,5 мільйонів українців. Він не зберігає персональних даних, а лише відображає те, що зберігається про них у відповідних державних реєстрах. Відвідувачами порталу Дія є понад 13 мільйонів українців, а не 2 мільйони, як зазначається в оголошеннях. 

Закликаємо українців не піддаватися паніці. Усі персональні дані перебувають під надійним захистом у держреєстрах. А оголошення про можливість купити дані, отримані після зламу 14 січня, є аферою: шахраї продають старі дані, що скомплектовані з багатьох джерел, які були злиті до 2019 року. 

Зараз українські кіберспеціалісти мають об’єднатися, щоб протистояти загрозі та нейтралізувати противника»‎, — йдеться в офіційному повідомленні Мінцифри.

Крім того, віцепрем’єр-міністр, міністр цифрової трансформації Михайло Федоров анонсував запуск єЗахисту в «Дії», де українці зможуть дізнатися, в яких реєстрах є інформація про них.

«Ми ухвалили рішення запустити найближчим часом послугу єЗахист в додатку «Дія». Де кожен громадянин зможе дізнатися базові правила кібербезпеки, в яких реєстрах є інформація про них. Наступним кроком буде запуск сервісу, де кожному українцю приходитиме повідомлення, коли чиновник перевіряє ваші дані в реєстрі», — написав Федоров у своєму Telegram-каналі.

Він наголосив, що застосунок «Дія» не зберігає персональні дані, тому, коли користувач авторизується в додатку, документи підтягуються заново, COVID-сертифікат також потрібно генерувати повторно.

Тим часом, Гільдія ІТ-фахівців звернулась до Мінцифри те керівників «Дії» з закликом не ігнорувати думку ІТ-спільноти України та вживати заходів, коли трапляються подібні прецеденти.

UPD

Олександр Федієнко, депутат Верховної Ради та заступник голови Комітету з цифрової трансформації та голова правління Інтернет асоціації України зазначив: «Так, дійсно, певний виток інформації стався. Під підозру поки що підпадають ряд державних установ-розпорядників цієї інформації». Він також запропонував «скинутись і придбати» дані, щоб подивитись, «що там вони надампили».

«Я вже поставив завдання помічникові підготувати відповідні звернення. У зв’язку чим пропоную надати професійно грамотні питання до відповідних державних (інших) установ, щодо природи витоку і наскільки він пов’язаний з «Дія» та «Трембіта». Питання прошу надсилати помічникові, він узагальнить і підготує звернення. За результатами буде повідомлено», — написав він.

Матеріал DOU