Telegram-бот продає права і паспорти українців. Мінціфри заперечує, що дані - з «Дія»

Користувачі в Facebook перевірили дані і припускають, що вони могли потрапити до шахраїв з програми «Дія», в якому можна зберігати цифрові варіанти своїх документів (зокрема, паспорт і права).

Що кажуть паблішери «Дія»?

Міністр цифровий трансформації Михайло Федоров назвав пости з повідомленнями про «зливі» даних з «Дія» фейк.

«По-перше,« Дія »не має бази даних і не накопичує таку інформацію. По-друге, кількість інформації, яка доступна в зазначеному боті, набагато, в десятки або сотні разів перевищує ту, з якою працює «Дія». По-третє, попередній аналіз інформації бота свідчить про використання старих баз даних, які вже не один рік доступні в даркнета », - пише чиновник.

За його словами, мова йде про базу даних «ПриватБанку» та інших приватних баз даних (то, що бот використовує цю базу даних, в банку побічно підтвердили редакції раніше).

Також у відомстві зазначили, що творці бота анонсували базу з 26 млн посвідчень, хоча в Україні всього 9,5 млн водійських прав, з яких в додатку відображаються 6,5 млн.

За даними Федорова, СБУ почала розслідувати роботу бота.

Що кажуть користувачі?

Поки неясно, з чиєї саме вини база потрапила в руки до власників бота. Наводимо нижче два свідоцтва користувачів: за першим створюється відчуття, що відомство не має рацію, коли говорить про старі базаи, по другому - що «Дія» не має відношення до витоку.

Киянин Олександр Шевченко розповів, що переоформляв водійські права через крадіжку. Тому в базі було дві його фотографії: стара і нова.

 «У мене недавно була травма і на фото (в боті - ред.) Видно, що травма вже є, а значить, база - максимально нова. Відносно пояснень про те, що це - база «ПриватБанку», я його послугами взагалі не користуюся », - розповів він.

Олександр також навів приклад свого знайомого, який міняв паспорт на ID-карту, і зміна статусу документа в базі бота відображена за 22 квітня 2020 року.

Мешканка Київської області Владислава Приступа розповіла, що з моменту виходу програми «Дія» активно їм користувалася, і що в додатку її права є. Однак в базі бота - її старі дані, дівоче прізвище, стара прописка, також зазначено, що прав у неї немає. За словами Владислави, вона отримала права і вийшла заміж 2 роки тому, тобто, даними в базі - мінімум 2 роки.

Що кажуть експерти з кібербезпеки?

Шон Таунсенд, співзасновник «Українського кіберальянса» , вважає, що проблема - ширше, ніж конкретна витік з реєстрів:

«Зовсім не факт, що дані« потекли »саме з« Дія », але саме завдяки підходу, закладеного в« Дія »та« Трембіті », витоку відбуватимуться частіше. Раніше реєстри були розбиті між відомствами. Вони, звичайно, «текли», і туди вносилися несанкціоновані зміни. Але у розпорядника реєстру була свого роду «феодальна монополія» на дані, і розпорядник грубо кажучи, був зацікавлений в її збереженні », - говорить він.

За його словами, об'єднання реєстрів такими сервісами, як «Дія», «Трембіта» і подібними призводить до розмивання відповідальності за їх безпеку. Плюс, не працює як треба аккаунтинга (тобто облік того, хто, коли і з якого приводу звертався до реєстру).

CEO GigaCloud Артем Коханевич сумнівається в тому, що причина витоку даних саме «Дія»:

«Звинувачення сервісу «Дія» у витоку персональних даних українців, інформація про який сьогодні широко поширилася по інтернету, швидше за все, безпідставна. 

Люди, які ніколи не реєструвалися в цьому додатку, також знайшли інформацію про себе в Telegram-боті. Крім того, програма не зберігає дані у своїй власній базі, а бере їх з цілого ряду реєстрів. Принцип його роботи можна порівняти, наприклад, з популярними маркетплейсамі.

Але нинішній злив даних через Telegram-бот ще раз нагадав про важливу особливість інформаційної безпеки будь-якої системи: вона залежить в рівній мірі від архітектури програмного забезпечення і від бізнес-процесів в структурі, яка займається її обслуговуванням. Простіше кажучи, зберігати дані можна хоч в Пентагоні, але якщо пароль адміністратора 12345 - система буде зламана».