logo
15 May 2020

Утекли пароли от соцсетей, данные водительских прав и прописки. Разбираемся, причастны ли «Дія» и «Опендатабот»

В Украине появился Telegram-бот, который за определенную сумму продавал данные украинцев. Сначала только паспортные, а после – и с водительских удостоверений, и даже пароли от социальных сетей.

Internet fraud, darknet, data thiefs, cybercrime concept. Hacker attack on government server. Dangerous criminals coding virus programs in the basement.

Рассказываем, что случилось и какой была хронология событий.


Что случилось

В конце апреля в мессенджере Telegram появился бот, который распространял личные данные украинцев по запросу. За определенную сумму можно было получить ФИО, дату рождения, серию и номер паспорта, прописку и идентификационный код. 

Курс Project Manager від Powercode academy.
Онлайн-курс Project Manager. З нуля за 3,5 місяці до нової позиції Без знання коду, англійської та стресу.
Зарееструватися

Позже один бот удалили, но появился второй с расширенными функциями: продавали данные прописки и водительские удостоверения. Также пользователи начали сообщать о возможности получить данные с биометрического паспорта и даже пароли от социальных сетей.

При этом пользователи Facebook пишут, что данные устаревшие, примерно с 2012 по 2018 гг. 

«Мне показало не только паспортные данные и старые пароли (старые, но на тот момент настоящие), но и данные биометрических паспортов, и водительское удостоверение, о котором я даже не догадывался. Даже в «Дія» его не показывают, а у ребят в базе — есть», — пишет архитектор программного обеспечения в Prozorro Владимир Фльонц.

Кого обвинили

В первоначальной утечке данных пользователи Facebook обвинили приложение «Дія»: якобы только у них есть такая информация.

Министр Министерства цифровой трансформации Михаил Федоров сообщил, что эта информация — ложь. У приложения даже нет базы данных, чтобы накапливать информацию, оно лишь отображает ее.

У сооснователя Украинского киберальянса Шона Таунсенда нет однозначного ответа, ведь у приложения есть прямой доступ к реестрам.

«Может быть, утечка была с приложения, а может, утекло из самых реестров путем старого доброго подкупа. Что бы там ни говорила Минцифра, в серверной части приложения «Дія» есть прямой доступ к реестрам. и уже неважно, сохраняется что-то серверах или нет. Наличие или отсутствие в «Дії» базы ничего принципиально не меняет», — пишет Шон Таунсенд.

14 мая полиция сообщила, что информация якобы взята из сервиса «Опендатабот» (позже эту информацию просто удалили из пресс-релиза).

Англійська для початківців від Englishdom.
Для тих, хто тільки починає вивчати англійську і хоче вміти використовувати базову лексику і граматику.
Реєстрація на курс

Сооснователь сервиса Андрей Хорсев написал на своей странице опровержение и сказал, что подобные неаккуратные упоминания компании не столько угрожают деловой репутации, сколько ставят точку на инициативах Президента и Минцифры войти в топ-10 стран по открытию данных к концу 2020 года.

В «Дії» нет паролей пользователей от соцсетей и меньше водительских прав

Количество информации в боте превышает ту, с которой работает приложение, говорят в Минцифре.

«В Украине 9,5 млн водительских удостоверений, 6,5 млн из которых отображаются в «Дії». В сети появилась информация о данных 26 млн водительских удостоверений», — пишет замминистра Минцифры Валерия Ионан. 

Также, по словам Федорова, информация в боте используется из старых баз данных, которые уже не один год доступны в даркнете.

«В частности, речь идет о базе данных “ПриватБанка” до национализации, а также о других частных (негосударственных) базах данных. Например, в боте доступны пароли от “ВКонтакте” и Linkedin», — пишет Федоров.

На официальной странице приложения в Facebook пишут, что такую информацию «Дія» никогда не использовала, что говорит о том, что дело не в мобильном приложении.

В свою очередь, «ПриватБанк» в одном из комментариев сообщил, что указанные данные могут быть взяты из открытых источников, социальных сетей и других предприятий, обладающих данными клиентов.

Архитектор программного обеспечения в Prozorro Владимир Фльонц считает, что приложение помогло лишь приоткрыть завесу к персональным данным.

«Действительно, мобильное приложение «Дія» у всех на слуху в последнее время, и именно через него приоткрыли щелочку к данным с биометрических документов. Но вероятность того, что массовая утечка произошла именно через приложение в телефоне, относительно низкая», — пишет он.

Курс Розмовної англійської від Englishdom.
Після цього курсу ви зможете спілкуватись з іноземцями і цікаво розкажете про себе.
Приєднатися

«Опендатабот» обвинили в полиции, а позже передумали

Андрей Хорсев пишет, что «Опендатабот» также не содержит баз с персональной информацией украинцев.

«Данные ОДБ (банковская информационная система, — прим. ред.) получены исключительно из официальных источников. Контракты на получение данных мы готовы предоставить полиции по первому требованию», — пишет Хорсев.

Также он сообщает, что никто из Нацполиции не обращался к ним с вопросами в рамках этого досудебного расследования.

Как мы уже упоминали, позже пресс-служба полиции просто удалила название сервиса из пресс-релиза.

Проверки и действия правоохранительных органов

Полицейские открыли уголовное производство, но не обнаружили фактов кибератак на государственное мобильное приложение «Дія». 

Также сообщают, что базы наполнены информацией годичной давности.

Михаил Федоров писал, что СБУ также начала следственные действия по работе телеграм-бота и доступных в нем персональных данных.

А следователи Государственного бюро расследований начали досудебное расследование по факту утечки информации. Подозревают, что к этому могут быть причастны Главный сервисный центр МВД Украины и Государственная миграционная служба.

Курс QA Manual (Тестування ПЗ мануальне) від Powercode academy.
Навчіться знаходити помилки та контролювати якість сайтів та додатків.
Записатися на курс

Новости

Вдохновляющие компании-работодатели

«БИОСФЕРА»

Ваша жалоба отправлена модератору

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: