Юрінком Інтер
“Юрiнком Iнтер” – провiдне українське видавництво, що забезпечує юридичною лiтературою, журнальними виданнями правоохороннi, судовi та правозахисні органи та організації, навчальнi заклади та науковi установи, а також юристiв, якi працюють в установах i органiзацiях та на пiдприємствах рiзних форм власностi.

Telegram-бот продает прыватную информацию. Минцифры отрицает, что данные — из «Дія»

0 0

Telegram-канал UA Baza Bot разместил объявление о том, что начинает продажу данных прав украинцев. По иронии, владельцы канала, нарушающего закон, в этом сообщении предостерегают пользователей от действий мошенников.

Пользователи в Facebook проверили данные и предполагают, что они могли попасть к мошенникам из приложения «Дія», в котором можно хранить цифровые варианты своих документов (в частности, паспорт и права). Вот — пара примеров таких проверок.

Что говорят паблишеры «Дія»?

Министр цифровой трансформации Михаил Федоров назвал посты с сообщениями о «сливе» данных из «Дія» фейками.

«Во-первых, «Дія» не имеет базы данных и не накапливает такую информацию. Во-вторых, количество информации, которая доступна в указанном боте, намного, в десятки или сотни раз превышает ту, с которой работает «Дія». В-третьих, предварительный анализ информации бота свидетельствует об использовании старых баз данных, которые уже не один год доступны в Даркнете», — пишет чиновник.

По его словам, речь идет о базе данных «ПриватБанка» и других частных баз данных (то, что бот использует эту базу данных, в банке косвенно подтвердили редакции ранее).

Также в ведомстве отметили, что создатели бота анонсировали базу из 26 млн удостоверений, хотя в Украине всего 9,5 млн водительских прав, из которых в приложении отображаются 6,5 млн.

По данным Федорова, СБУ начала расследовать работу бота.

Что говорят пользователи?

Пока неясно, по чьей именно вине база попала в руки к владельцам бота. Приводим ниже два свидетельства пользователей: по первому создается ощущение, что ведомство неправо, когда говорит о старых базах, по второму — что «Дія» не имеет отношения к утечке.

Киевлянин Александр Шевченко рассказал редакции AIN.UA, что переоформлял водительские права из-за кражи. Поэтому в базе было две его фотографии: старая и новая. «У меня недавно была травма и на фото (в боте — ред.) видно, что травма уже есть, а значит, база — максимально новая. Касательно объяснений о том, что это — база «ПриватБанка», я его услугами вообще не пользуюсь», — рассказал он.

Александр также привел пример своего знакомого, который менял паспорт на ID-карту, и смена статуса документа в базе бота отражена за 22 апреля 2020 года.

Жительница Киевской области Владислава Приступа рассказала, что с момента выхода приложения «Дія» активно им пользовалась, и что в приложении ее права есть. Однако в базе бота — ее старые данные, девичья фамилия, старая прописка, также указано, что прав у нее нет. По словам Владиславы, она получила права и вышла замуж 2 года назад, то есть, данным в базе — минимум 2 года.

Что говорят эксперты по кибербезопасности?

Шон Таунсенд, сооснователь «Украинского киберальянса», считает, что проблема — шире, чем конкретная утечка из реестров:

«Совсем не факт, что данные «потекли» именно из «Дія», но именно благодаря подходу, заложенному в «Дія» и «Трембите», утечки будут происходить чаще. Раньше реестры были разбиты между ведомствами. Они, конечно, «текли», и туда вносились несанкционированные изменения. Но у распорядителя реестра была своего рода «феодальная монополия» на данные, и распорядитель грубо говоря, был заинтересован в ее сохранении», — говорит он.

По его словам, объединение реестров такими сервисами, как «Дія», «Трембита» и подобными приводит к размыванию ответственности за их безопасность. Плюс, не работает как надо аккаунтинг (т.е. учет того, кто, когда и по какому поводу обращался к реестру).

CEO GigaCloud Артем Коханевич сомневается в том, что причина утечки данных именно «Дія»:

«Обвинения сервиса «Дія» в утечке персональных данных украинцев, информация о котором сегодня широко распространилась по интернету, скорее всего, беспочвенны. Люди, которые никогда не регистрировались в этом приложении, также нашли информацию о себе в Telegram-боте. Кроме того, приложение не хранит данные в своей собственной базе, а берет их из целого ряда реестров. Принцип его работы можно сравнить, например, с популярными маркетплейсами.

Но нынешний слив данных через Telegram-бот еще раз напомнил о важной особенности информационной безопасности любой системы: она зависит в равной степени от архитектуры программного обеспечения и от бизнес-процессов в структуре, которая занимается ее обслуживанием. Проще говоря, хранить данные можно хоть в Пентагоне, но если пароль администратора 12345 — система будет взломана».

Update: На 15:30 12 мая 2020 года аккаунт UA Baza Bot деактивирован.

Ольга Карпенко

ИсточникAIN.UA

Залиште коментар