Гучний скандал із діджиталізацією та додатком "Дія": у telegram'і з'явився профіль Ua Baza BOT, котрий торгує базою водійських посвідчень, комбінованою із даними вседежавних сервісів із мобільними телефонами та реквізитами банківських карток, а також із соцмережами.
Міністр цифрової трансформації Михайло Федоров узявся запевнювати, що додаток "Дія" не має стосунку до витоку персональних даних. Водночас міністр визнав ситуацію тривожною.
"По-перше і головне, "Дія" не має бази даних і не накопичує таку інформацію. По-друге, кількість інформації, яка доступна у зазначеному боті, набагато – в десятки, а то й сотні разів – перебільшує ту, з якою працює "Дія". По-третє, попередній аналіз інформації боту свідчить про використання старих баз даних, які вже не один рік доступні в Даркнеті. Зокрема, мова йде про базу даних "Приватбанку" (до націоналізації), а також інших приватних (не державних) баз даних. Наприклад, в боті доступні паролі від Вконтакте, Linkedin", – прокоментував Федоров.
Міністр поінформував, що Служба безпеки України розпочала слідчі дії щодо роботи телеґрам-бота.
На телеґрам-сторінці зловмисників зазначено, що вони диспонують базою із 327 мільярдів записів і 4,5 мільярда парольних пар. Базу зведено з урахуванням номерів телефонів, номерів автомобілів, повних паспортних даних, мейлів.
Журналіст Сергій Сидоренко коментує: він знайшов у базі дані зі свого старого водійського посвідчення, цілковито втраченого у державних структурах. Інформації з цієї посвідки немає у "Дії" – з одного боку, це підтверджує арґументи Федорова про непричетність Мінцифри до витоку, з іншого боку, підтверджує, що зловмисники добулися таки до дуже глибокого сховку даних.
"В демо-пошуку по моєму мейлу підтягуються ті самі старі права, з номером, реквізитами та ін., про які "Дії" невідомо. По мейлу! Тобто дані не просто взяті з якоїсь урядової бази, про яку "Дія" досі не в курсах, – а ще й синхронізовані з іншими особистими даними. У 1995 році у мене цього мейлу не було, клянуся", – здивувався Сидоренко.
Керівник організації "Цифрова демократія" Володимир Фльонц зазначає, що гакери не просто отримали цінні персональні дані, а й успішно синхронізували їх із багатьма іншими даними. У цьому сенсі гакери навіть продуктивніші, ніж "Дія".
"Кілька місяців тому Мінцифра пообіцяла, що сама створить головний ідентифікатор (з оминанням закону про Єдиний демографічний реєстр, до речі), завдяки котрому об'єднає всі реєстри країни, і настане цифрове щастя. Не знаю, як у Мінцифри, а от у хлопців все вийшло. Хлопці молодці. Поєднали разом дані держреєстрів, бази "Нової пошти", паролі із "ВКонтактє" і linkedin, рясно приправили банківською таємницею – і результат, як кажуть, на табло", – написав він у Facebook.
Фльонцові база продемонструвала не лише паспортні дані, старі паролі, а й дані з біометричного паспорта (вкупі з фотографією) і водійські права, "про котрі я навіть не здогадувався". "Ось так уже зараз виглядає цифрове майбутнє", – прокоментував експерт.
12.05.2020