Персональні дані 2 млн українців виставили на продаж? У Мінцифри заявили про провокацію

Російський фейк чи «дірки» у системі національної інформаційної безпеки? У Мінцифри прокоментували оприлюднене на одному з хакерських форумів оголошення про продаж бази даних 2 млн українців, «злитої» внаслідок масштабної кібератаки на урядові сайти в ніч з 13 на 14 січня. У відомстві цей інцидент назвали «продовженням гібридної війни». Натомість низка експертів стверджує: дані з «витоку» виявились справжніми. Про це йдеться в аналітичному матеріалі, оприлюдненому stopcor.org

Оголошення про продаж бази даних Хакери виставили на продаж конфіденційні дані 2 млн українців нібито з застосунку Дія. Скріншот
Оголошення про продаж бази даних
Хакери виставили на продаж конфіденційні дані 2 млн українців нібито з застосунку Дія. Скріншот

Починаючи з минулих вихідних, в інтернеті постійно з’являються оголошення щодо продажу даних, нібито отриманих під час кібератаки, що відбулася з 13 на 14 січня. У тому числі багато оголошень стосується продажу бази даних Дії. Такі оголошення мають на меті не тільки залякати суспільство. А ще й дестабілізувати ситуацію в Україні, зупинивши роботу державного сектора, – йдеться в офіційній позиції, опублікованій на сторінці застосунку Дія.

У відомстві наголосили, що користувачами Дії є 13,5 млн українців, а не 2 млн, як зазначено в оголошеннях про продаж. При цьому мобільний застосунок начебто не зберігає персональних даних, а лише відображає те, що зберігається у відповідних державних реєстрах.

Українців закликали не піддаватися паніці та запевняють: усі персональні дані перебувають під надійним захистом у держреєстрах

Оголошення про можливість купити дані, отримані після зламу 14 січня, є аферою: шахраї продають старі дані, що скомплектовані з багатьох джерел, які були злиті до 2019 року, – стверджують у Мінцифри.

Однак, на думку експерта з кібербезпеки Володимира Пасіки, пост Мінцифри не повністю відповідає дійсності. Адже якщо подивитися дату створення файлів у злитому дампі (файл з повним або частковим вмістом бази даних – ред.) самого порталу, то можна побачити там зовсім не 2019 рік.

Дамп бази даних Дописувачі оприлюднили скрін дампу, де вказано 2021 рік. Скріншот
Дамп бази даних
Дописувачі оприлюднили скрін дампу, де вказано 2021 рік. Скріншот

Дія заявила, що дампи – не з їх сайту, а склейка з даних, які були зламані раніше, і їх скомпілювали в дамп спеціально для проведення інформаційної атаки. Це може бути правдою, оскільки сьогодні національне українське свято, а росіяни люблять робити підлість по святах. Відкритим залишається питання контролю серверів Дії росіянами, оскільки, крім дампів, злитий був і сам сайт порталу Дія. Тобто був доступ до файлів і можливості перехоплення інформації. На підтвердження того, що портал ламався не в 2019, а зараз, можна переглянути будь-які файли, які досі є в інтерфейсі порталу і глянути їх дату створення. В цій ситуації слід пам’ятати, що першопричина витоку даних і його наслідків – російська агресія, а тільки потім – тупість виконавців, – вважає Володимир.

Дописувачі також зазначають: твердження Мінцифри про те, що Дія не зберігає персональних даних, м’яко кажучи, є сумнівним

А той факт, що застосунок має 13 млн користувачів, ніяк не суперечить тому, що зловмисники змогли «злити» інформацію тільки про 2 млн українців. Або ж гіпотетично могли викрасти і решту, але поки не виставляти на продаж.

Я не можу засвідчити що дамп бази саме з Дії, для цього мало вихідних даних. Проте в тому шматочку бази, яка зараз доступна для безкоштовного ознайомлення, присутні дати за 2021 рік, що дивним чином збігаються з датою останнього входу на веб портал Дії та генерацією ковідного сертифікату. А саме – поле “updatedAt”, – коментує фахівець з телекомунікацій та інформатизації Олександр Раєвський.

Засновник Інституту постінформаційного суспільства Дмитро Золотухін зауважує: перевірити справжність «злитої» бази – досить просто.

Качаєте найменший архів одного з семлів дампу з 26,2 тисячею файлів, розпаковуєте собі в папку у «пісочниці». Тобто на комп’ютері чи віртуальній машині, де ви вільно відкриєте вірогідно заражені вірусами файли. Відкриваєте переглядачем з десяток файлів навмання та знаходите номери телефонів та ПІБ. Телефонуєте і встановлюєте, чи на тому кінці дроту відповість той самий ПІБ. І питаєте, чи користувався він порталом Дія? Зокрема, чи використовував портал Дія для реєстрації ФОП, або підвантаження документів, – рекомендує експерт.

Тим часом журналісти вже скористалися цим методом і перевірили дані з витоку. І вони нібито виявилися реальними. Про це йдеться у матеріалі видання ITC.UA.

Наша редакція перевірила інформацію з цього фрагменту та зв’язалася з деякими людьми, вказаними в ньому. Вони підтвердили правдивість деяких відомостей з бази даних (щонайменше, телефони та ПІБ збігаються), але зі зрозумілих причин не хотіли надавати підтвердження всієї інформації про себе. Судячи з наявної інформації, база даних містить інформацію, додану в тому числі наприкінці 2021 року, – повідомив журналіст Вадим Карпусь.

Водночас у Мінцифри закликали українських кіберспеціалістівв «об’єднатися, щоб протистояти загрозі та нейтралізувати противника».

Видання нагадує, в ніч із 13 на 14 січня В Україні сталася найпотужніша за останні чотири роки кібератака на урядові портали, яка охопила 70 державних сайтів.

За попередніми даними слідства, до інформаційної атаки може бути причетне угруповання UNC1151, яке пов’язують зі спецслужбами Білорусі. Своєю чергою, у Службі безпеки також заявляли про виявлення певних ознак причетності до інциденту хакерських груп, пов’язаних з російськими спецслужбами.

16 січня Міністерство цифрової трансформації також повідомило, що наразі всі докази свідчать про організацію РФ кібератаки на українські урядові сайти.