Массовый слив. Как данные украинцев попали в Сеть

В Украине очередной массовый слив персональных данных граждан.

Правда, в этот раз, похоже, наиболее масштабный.

Судите сами, в открытый доступ попали 26 миллионов только водительских удостоверений.

А еще и паспорта, и пароли от аккаунтов в социальных сетях и почт.

Претензии сразу же появились к Министерству цифровой трансформации и их приложению Дия, которое подтягивает электронную версию документов из государственных реестров.

Но в Минцифре уверяют, что они тут не при чем.

Корреспондент.

net разбирался в масштабах слива.

Как это работает.

Бот UA Baza содержит данные госреестров, а также базы новой почты и пароли из соцсетей Вконтакте и linkedin.

Например, Head Chef общественной организации Электронная демократия Владимир Фльонц, с помощью бота нашел сразу несколько своих документов.

"Мне показали не только паспортные данные, мои старые пароли, данные с биометрических паспортов (в частности, фото) и вишенка на торте – водительское удостоверение, о котором я даже не догадывался.

Даже в Дии его не показывает, а у ребят в базе – есть.

Вот так уже сейчас выглядит их цифровое будущее", – написал Фльонц.

Более того, например, журналисту Сергею Сидоренко бот показал водительские права, которые он потерял еще в 1999 году, и с тех пор не восстанавливал.

“По моей почте подтягиваются же старые права, с номером, реквизитами, о которых Дии неизвестно.

То есть данные не просто взяты из какой-то правительственной базы, о которой Дия пока не в курсах - но и синхронизированы с другими личными данными.

В 1995 году у меня этой почте не было, клянусь.

Умеют же когда хотят, Минцифры отдыхают на этом фоне”, - удивляется Сидоренко.

Причем тут Дия.

Приложение для смартфона Дия содержит электронные копии документов - паспортов, прав, техпаспорта на авто.

В Украине они являются легальными заменителями бумажных документов.

Нардеп Александр Дубинский обвинил Дию в сливе персональных данных.

Но позже удалил эту информацию.

"Только что беседовал с министром цифровой трансформации Михаилом Фёдоровым, который в течение дня обещает предоставить информацию о том, кто и как сливает данные из госреестров.

До момента получения этой информации посты о Дия удалены.

Если информация Михаила окажется не релевантной, либо не докажет обратного - вернёмся к теме", - объяснил удаление Дубинский.

В Министерстве цифровой трансформации любую причастность сервиса Дия к утечке данных отрицают.

Там объясняют, что Дия не имеет собственной базы данных, а лишь отражает информацию из реестров.

Да и объемы информации, доступной в боте, в десятки, а то и сотни раз, превышает ту, с которой работает Дия.

Там отмечают, что анализ бота свидетельствует об использовании старых баз данных Приват.

"Злоупотребление использованием персональных данных граждан недопустимо! Служба безопасности Украины уже проводит следственные действия в отношении злоумышленников, распространяющих такую ​​информацию в интернете", - заявили в министерстве.

В Минцифры предостерегают: пытаясь найти информацию о себе в различных нелегальных ботах, вы сами предоставляете злоумышленникам персональные данные.

К чему это приведет.

Артем Коханевич, СЕО Giga.

Cloud считает обвинения сервиса Дия в утечке персональных данных украинцев беспочвенными.

Приложение не хранит данные в своей собственной базе, а берет их из целого ряда реестров.

Принцип его работы можно сравнить, например, с популярными маркетплейсами, которые выступают посредником и “связывают” между собой покупателей и продавцов.

Смешной факт - люди, которые не могли добиться в Дие отображения своей фотографии на правах, увидели ее в телеграм-боте.

базы были получены откуда угодно, но не из Дии”, - констатирует Коханевич.

По его мнению, атака управляемая и направлена против продолжения развития проекта.

“Если Федорову с командой удастся реализовать хотя бы половину из заявленного, пострадает очень много серых и коррупционных схем.

Украина сейчас пасет задних в цифровизации государственных процессов, и это не потому, что “все нормальные давно уехали” - цифровизация значительно уменьшает возможность для манипуляций, и заказчики управляемого бардака будут этому активно сопротивляться”, - полагает менеджер.

Вместе с тем Коханевич отмечает, что сервис Дия разрабатывается “какими-то людьми за чьи-то деньги”.

“Дия физически размещена в одном дата-центре у одного из коммерческих операторов, выбор которого был совершенно непрозрачным, что можно сказать и про команду разработки.

Во главу угла поставлена скорость запуска новых сервисов.

Вопросы отказоустойчивости и резервирования, защиты от внешних вторжений, DDoS, защиты персональных данных - это то, что за гонкой функционала всегда остается на втором плане.

Атаку через анонимный телеграм-бот, Дия переживет без проблем.

Но не за горами инциденты, вызванные неправильной архитектурой - и вот там что-то ответить обществу будет уже сложнее”, - прогнозирует специалист.