Повідомляють про масштабний злив даних користувачів «Дія», Мінцифри це заперечує. Що відомо (оновлюється)

У мережі з’явилась інформація про нібито продаж на форумі RAID особистих даних двох мільйонів українців, що зберігались сервісом «Дія». Вартість даних — $ 15 000, продавець — користувач під ніком FreeCivilian.

На підтвердження правдивості своїх слів FreeCivilian виставив кілька файлів різного розміру: емейли, ІПН, номери телефонів, дані паспортів та банківських карток, а також фото документів українців. Крім того, є закрита інформація державного підприємства «Дія» та всі файли структури порталу «Дія».

Хакери також анонсують продаж даних з порталів health.mia.software, minregion.gov.ua, wanted.mvs.gov.ua, e-driver.hsc.gov.ua, court.gov.ua.

Скріншот Володимира Пасіки

Дані — справжні?

На думку Володимира Пасіки, розробника «Джури», це може бути спробою російських хакерів замаскуватися під «комерційних» хакерів, а сам факт «зливу» на День Соборності — цілком типовий для російських спецслужб.

«Дані „живі“. Дамп сайту показує, що це продукт фірми Kitsoft. В логах сайту останній запис станом на 2019, а в базі грудень 2021. Якщо підсумувати, то красотуни зробили пачку критично важливих державних сайтів на платформі OctoberCMS, яка по факту є „надбудовою“ над Laravel Framework і не славиться надійністю і стабільністю.

Можливо, виломали лише портал Дія, а не додаток.

Як результат — пачка виломаних сайтів, а Дію просто вкрали, разом з даними користувачів (які вони типу не зберігали) і файлами самого сайту», — написав Володимир Пасіка на своїй FB-сторінці.

У коментарях до допису Kitsoft надав відповідь: «Колеги, портал Дія не використовує October cms і працює взагалі не на php, а на іншому стеку технологій. Дані цілком ймовірно можуть бути компіляцією раніше опублікованих витоків. Давайте дочекаємось офіційної інформації, перш ніж робити висновки».

Чи дані — це підробка?

Влад Стиран, експерт з кібербезпеки, висловив підозру, що це контрольований злив даних, отриманих в рамках зламу Kitsoft та його клієнтів.

«Чи достатньо легітимно виглядає семпл „злама Дії“, щоб його захотілося купувати для подальшого аналізу? Ні. На даркнет-форумах регулярно з’являються так звані „зклейки“ даних з раніше зламаних джерел, які видаються продавцями за справжні результати свіжих операцій. Свідчити про такий „розвод“ можуть розбіжності в форматах даних, низька репутація продавців на форумах, низька ціна дампів тощо.

Наприклад, SQL-вибірка користувачів з „утєчкі з Дії“ поки виглядає як шахрайство в даркнеті. Занадто багато імен громадян України починаються на „ФОП“ та інші нестикування в дрібницях.

Проте, „вихідний код Дії“ виглядає як OctoberCMS, тобто можливо, це вебсайт Дії, який розробляв підрядник. Також, з параметрів конфігурації, таких як IP-адресація та налаштування сервісів, схоже, що це розробницька або тестова версія сайту.

API Дії як такої в семплі ніде немає. Це легко перевірити, бо відкрита частина API опублікована в рамках Bug Bounty програми Дії.

JSON-семпл виглядає більш легітимно. Я не дуже активний користувач Дії, але поєднання в одній структурі даних інформації про геть різні аспекти діяльності людини (підприємництво, банківські реквізити та сімейний стан) трохи напружує. Проте, структура документів неоднорідна: таке враження, що вони були експортовані з геть різних джерел. Можливо це дамп з Redis, який якраз використовується для кешування різнорідних даних. Але не виключаю факту підробки», — написав Влад Стиран у своєму FB-акаунті.

Мінцифри закликає зберігати спокій, а Федоров анонсує єЗахист

У Мінцифри заперечують злив даних і називають це провокацією на тлі гібридної війни. Мета — «‎підірвати довіру до влади фейками про вразливість критичної інформаційної інфраструктури та «злив» даних українців”‎.

“Нагадаємо, що користувачами мобільного застосунку Дія є 13,5 млн українців. Він не зберігає персональних даних, а лише відображає те, що зберігається про них у відповідних державних реєстрах. Відвідувачами порталу Дія є понад 13 млн українців, а не 2 млн, як зазначається в оголошеннях.

Закликаємо українців не піддаватися паніці. Усі персональні дані перебувають під надійним захистом у держреєстрах. А оголошення про можливість купити дані, отримані після зламу 14 січня, є аферою: шахраї продають старі дані, що скомплектовані з багатьох джерел, які були злиті до 2019 року.

Зараз українські кіберспеціалісти мають об’єднатися, щоб протистояти загрозі та нейтралізувати противника«‎, — йдеться в офіційному повідомленні Мінцифри.

Крім того, віцепрем’єр-міністр, міністр цифрової трансформації Михайло Федоров анонсував запуск єЗахисту в «Дії», де українці зможуть дізнатися, в яких реєстрах є інформація про них.

«Ми ухвалили рішення запустити найближчим часом послугу єЗахист в додатку „Дія“. Де кожен громадянин зможе дізнатися базові правила кібербезпеки, в яких реєстрах є інформація про них. Наступним кроком буде запуск сервісу, де кожному українцю приходитиме повідомлення, коли чиновник перевіряє ваші дані в реєстрі», — написав Федоров у своєму Telegram-каналі.

Він наголосив, що застосунок «Дія» не зберігає персональні дані, тому, коли користувач авторизується в додатку, документи підтягуються заново, COVID-сертифікат також потрібно генерувати повторно.

Тим часом, Гільдія ІТ-фахівців звернулась до Мінцифри те керівників «Дії» з закликом не ігнорувати думку ІТ-спільноти України та вживати заходів, коли трапляються подібні прецеденти.

UPD

Олександр Федієнко, депутат Верховної Ради та заступник голови Комітету з цифрової трансформації та голова правління Інтернет асоціації України зазначив: «Так, дійсно, певний виток інформації стався. Під підозру поки що підпадають ряд державних установ-розпорядників цієї інформації». Він також запропонував «скинутись і придбати» дані, щоб подивитись, «що там вони надампили».

«Я вже поставив завдання помічникові підготувати відповідні звернення. У зв’язку чим пропоную надати професійно грамотні питання до відповідних державних (інших) установ, щодо природи витоку і наскільки він пов’язаний з „Дія“ та „Трембіта“. Питання прошу надсилати помічникові, він узагальнить і підготує звернення. За результатами буде повідомлено», — написав він.

Обговорюємо також на Форумі DOU.