У мережі з’явилась інформація про нібито продаж на форумі RAID особистих даних двох мільйонів українців, що зберігались сервісом «Дія». Вартість даних — 15 000 доларів, продавець — користувач під ніком FreeCivilian.
На підтвердження правдивості своїх слів FreeCivilian виставив кілька файлів різного розміру: емейли, ІПН, номери телефонів, дані паспортів та банківських карток, а також фото документів українців. Крім того, є закрита інформація державного підприємства «Дія» та всі файли структури порталу «Дія».
Дані — справжні?
На думку Володимира Пасіки, розробника «Джури», це може бути спробою російських хакерів замаскуватися під «комерційних» хакерів, а сам факт «зливу» на День Соборності — цілком типовий для російських спецслужб.
«Дані «живі». Дамп сайту показує, що це продукт фірми Kitsoft. В логах сайту останній запис станом на 2019, а в базі грудень 2021. Якщо підсумувати, то красотуни зробили пачку критично важливих державних сайтів на платформі OctoberCMS, яка по факту є «надбудовою» над Laravel Framework і не славиться надійністю і стабільністю.
Можливо, виломали лише портал Дія, а не додаток.
Як результат — пачка виломаних сайтів, а «Дію» просто вкрали, разом з даними користувачів (які вони типу не зберігали) і файлами самого сайту», — написав Володимир Пасіка на своїй Facebook-сторінці.
У коментарях до допису Kitsoft надав відповідь: «Колеги, портал Дія не використовує October cms і працює взагалі не на php, а на іншому стеку технологій. Дані цілком ймовірно можуть бути компіляцією раніше опублікованих витоків. Давайте дочекаємось офіційної інформації, перш ніж робити висновки».
Чи дані — це підробка?
Влад Стиран, експерт з кібербезпеки, висловив підозру, що це контрольований злив даних, отриманих в рамках зламу Kitsoft та його клієнтів.
«Чи достатньо легітимно виглядає семпл «злама Дії», щоб його захотілося купувати для подальшого аналізу? Ні. На даркнет-форумах регулярно з’являються так звані «зклейки» даних з раніше зламаних джерел, які видаються продавцями за справжні результати свіжих операцій. Свідчити про такий «розвод» можуть розбіжності в форматах даних, низька репутація продавців на форумах, низька ціна дампів тощо.
Наприклад, SQL-вибірка користувачів з «утєчкі з Дії» поки виглядає як шахрайство в даркнеті. Занадто багато імен громадян України починаються на «ФОП» та інші нестикування в дрібницях.
Проте, «вихідний код Дії» виглядає як OctoberCMS, тобто можливо, це вебсайт Дії, який розробляв підрядник. Також, з параметрів конфігурації, таких як IP-адресація та налаштування сервісів, схоже, що це розробницька або тестова версія сайту.
API Дії як такої в семплі ніде немає. Це легко перевірити, бо відкрита частина API опублікована в рамках Bug Bounty програми Дії.
JSON-семпл виглядає більш легітимно. Я не дуже активний користувач Дії, але поєднання в одній структурі даних інформації про геть різні аспекти діяльності людини (підприємництво, банківські реквізити та сімейний стан) трохи напружує. Проте, структура документів неоднорідна: таке враження, що вони були експортовані з геть різних джерел. Можливо це дамп з Redis, який якраз використовується для кешування різнорідних даних. Але не виключаю факту підробки», — написав Влад Стиран у своєму FB-акаунті.
Мінцифри закликає зберігати спокій, а Федоров анонсує єЗахист
У Мінцифри заперечують злив даних і називають це провокацією на тлі гібридної війни. Мета — «підірвати довіру до влади фейками про вразливість критичної інформаційної інфраструктури та «злив» даних українців».
«Нагадаємо, що користувачами мобільного застосунку «Дія» є 13,5 мільйонів українців. Він не зберігає персональних даних, а лише відображає те, що зберігається про них у відповідних державних реєстрах. Відвідувачами порталу Дія є понад 13 мільйонів українців, а не 2 мільйони, як зазначається в оголошеннях.
Закликаємо українців не піддаватися паніці. Усі персональні дані перебувають під надійним захистом у держреєстрах. А оголошення про можливість купити дані, отримані після зламу 14 січня, є аферою: шахраї продають старі дані, що скомплектовані з багатьох джерел, які були злиті до 2019 року.
Зараз українські кіберспеціалісти мають об’єднатися, щоб протистояти загрозі та нейтралізувати противника», — йдеться в офіційному повідомленні Мінцифри.
Крім того, віцепрем’єр-міністр, міністр цифрової трансформації Михайло Федоров анонсував запуск єЗахисту в «Дії», де українці зможуть дізнатися, в яких реєстрах є інформація про них.
«Ми ухвалили рішення запустити найближчим часом послугу єЗахист в додатку «Дія». Де кожен громадянин зможе дізнатися базові правила кібербезпеки, в яких реєстрах є інформація про них. Наступним кроком буде запуск сервісу, де кожному українцю приходитиме повідомлення, коли чиновник перевіряє ваші дані в реєстрі», — написав Федоров у своєму Telegram-каналі.
Він наголосив, що застосунок «Дія» не зберігає персональні дані, тому, коли користувач авторизується в додатку, документи підтягуються заново, COVID-сертифікат також потрібно генерувати повторно.
Тим часом, Гільдія ІТ-фахівців звернулась до Мінцифри те керівників «Дії» з закликом не ігнорувати думку ІТ-спільноти України та вживати заходів, коли трапляються подібні прецеденти.
UPD
Олександр Федієнко, депутат Верховної Ради та заступник голови Комітету з цифрової трансформації та голова правління Інтернет асоціації України зазначив: «Так, дійсно, певний виток інформації стався. Під підозру поки що підпадають ряд державних установ-розпорядників цієї інформації». Він також запропонував «скинутись і придбати» дані, щоб подивитись, «що там вони надампили».
«Я вже поставив завдання помічникові підготувати відповідні звернення. У зв’язку чим пропоную надати професійно грамотні питання до відповідних державних (інших) установ, щодо природи витоку і наскільки він пов’язаний з «Дія» та «Трембіта». Питання прошу надсилати помічникові, він узагальнить і підготує звернення. За результатами буде повідомлено», — написав він.
Матеріал DOU