“Дія” ни при чем. Как украинцы теряют контроль над персональными данными

Можем ли мы представить, сколько государственных реестров и частных компаний владеют информацией о нас? Салон красоты или спортивный клуб просит указать место проживания и дату рождения, сеть продуктовых магазинов хочет узнать наше место расположения, государственная поликлиника или частный медицинский центр — получить информацию о заболеваниях и трудоустройстве. А “Новая почта”, крупнейший оператор доставки, а до недавнего времени еще и монополист этого рынка, еще и знает паспортные данные и всю историю онлайн-покупок. Очевидно, что в той или иной степени эта информация критически важна для их деятельности — например, для того, чтобы продавать больше товаров и услуг, которые якобы нам нужны, советовать выгодные скидки и персональные предложения.

Сложно даже представить, какое количество данных о конкретном лице доступно в больших и малых базах данных, в защищенных и свободно доступных облаках, на компьютерах и флеш-носителях различных компаний и структур. Объединить и сопоставить эти данные можно по нескольким параметрам. Во-первых, по номеру телефона, который многие люди стараются не менять годами. И во-вторых, по идентификационному коду. Конечно, для начала нужно иметь доступ. А еще обладать инструментами, которые позволяют работать с базами данных — например, проводить поиск, сравнение, объединение записей в них.

На этой неделе активизировался один из Telegram-каналов, предлагающий доступ к персональным данным украинцев. Он наглядно продемонстрировал, что украинцы уже не владеют собственными данными, в том числе персональными. И что доступ к этой информации при желании может получить практически кто-угодно.

Разыскиваются все. Как Telegram-каналы продают данные украинцев

12 мая один из Telegram-ботов, который еще с апреля предлагал поиск персональной информации граждан Украины, в своем специальном новостном канале сообщил, что теперь в базе появились водительские удостоверения, больше 26 млн и фотографии — более 5,2 млн снимков.

Бесплатно Telegram-бот предлагал поиск по пяти запросам. В качестве параметра запроса нужно было указать номер телефона.

Люди сразу же бросились искать информацию о себе, хотя делать это категорически не советовали специалисты по безопасности. Люди делились результатами у себя в Facebook и Twitter, обсуждали результаты поиска, пытаясь понять, откуда этот столь много знающий Telegram-бот получил столько подробной информации.

Любой, кто проводил поиск по этим ботам, мог видеть, что авторы Telegram-бота в выдаче указывали нечто похожее на названия используемых ими баз данных.

Среди использованных баз данных в выдаче присутствовали следующие: “Финансы 12/2019”, “Новая почта 07/2018”, “UA 2007”, “ТС”, “Архив 2012”, “Выборы 2014”, “Водительское удостоверение”.

Можно предположить, что авторы этого Telegram-бота получили базы данных из архива за 2012 г., базы избирателей 2014 г., водительских удостоверений и транспортных средств, базы клиентов “Новой почты” и еще несколько других.

Около 15:00 12 мая Telegram-бот перестал работать и был удален. Очевидно, это произошло в результате волны возмущения и публикаций в СМИ.

Telegram-безумие наглых

Впервые скандальный Telegram-бот вместе еще с несколькими аналогичными инструментами появился еще 23 апреля. Другие Telegram-боты позволяли проводить поиск по номеру телефона и получать полные данные найденных людей, включая налоговый номер, номер паспорта и номера телефонов, а еще — связанных с ними лиц. Тестирование показало, что это сравнительно старые данные, многие из которых были уже неактуальны, к примеру, отражалась старая информация по месту жительства. Тогда пользователи сети связали этот бот с базой данных клиентов Приватбанка.

Некоторые из ботов, созданных в конце апреля, были заблокированы, однако некоторые из них работают и сейчас, но только на платной основе: демо-доступ с определенным количеством бесплатных запросов уже не предлагается. Найти такие боты можно обычным поиском в Telegram.

При чем тут приложение “Дія” и что сделала полиция

Первая волна обсуждений Telegram-ботов сопровождалась обвинениями в сливе данных Министерства цифровой трансформации через приложение “Дія”. Причин связывать эти инструменты и “Дію” может быть несколько. Одна из них — незадолго до появления Telegram-ботов Минцифры анонсировало появление водительских прав в “Дії”. Да и в целом “Дія” создавалась как инструмент, который позволял хранить на смартфоне в мобильном приложении цифровые копии документов.

Весьма оперативно министр Михаил Федоров опроверг принадлежность “Дії” к утечкам, объяснив, что приложение не хранит данных ни на смартфоне пользователя, ни на собственных серверах, а только получает доступ к данным государственных реестров. Анализ содержания базы, на основе которой работали Telegram-боты, показывает, что действительно, скорее всего, приложение “Дія” здесь ни при чем, а Telegram-бот работает на основе объединенных скомпилированных баз данных, которые стали доступными в разное время и из разных источников. Это же подтверждает анализ, который провели некоторые специалисты по безопасности: Telegram-бот оперирует иногда даже более новыми данными — некоторых документов в “Дії” еще не было, а через бот они были доступны.

Однако из-за того, что код “Дії” не является открытым и приложение не проходило независимого аудита безопасности, нельзя однозначно быть уверенным в непричастности “Дії” к утечкам. Уже 13 мая появилось заявление Нацполиции об отсутствии фактов кибератак на “Дію”.

В процессе поиска виновных досталось и разработчикам проекта Opendata — инструмента, который уведомляет об изменениях в открытом реестре, однако в компании все обвинения опровергают.

Национальная полиция открыла уголовное дело по факту утечки персональных данных.

А на следующий день после закрытия бота появились предварительные сведения о том, что к утечке могут быть причастны специалисты Главного сервисного центра МВД и миграционной службы.

“Дырявые” базы: утечки данных в Украине и мире

Утечки данных стали признаком нашего времени. Мало какой онлайн-сервис или крупная компания могут похвастаться тем, что данные их клиентов ни разу не становились доступными другим людям. Лидером по количеству потерянных записей данных является компания Yahoo, которая в 2013 г. “потеряла” данные 3 млрд или всех своих пользователей почтовой службы Yahoo — их данные стали доступны хакерам. Среди таких жертв утечек — сервис Facebook, сеть отелей Marriott, онлайн-проекты Zygna, eBay, LinkedIn, сервис кредитных историй Equifax.

Во всех этих случаях важно знать, какие данные были потеряны, каким образом злоумышленники получили к ним доступ и какими были последствия утечек.

Часто информация о способе взлома и то, какие данные были потеряны, не обнародуется. Компании предпочитают сообщать клиентам о “крайней необходимости изменить пароль”, но иногда и просто замалчивают факт потери данных. Одно дело, когда речь идет об электронных адресах и именах пользователей и результатом утечки может стать всего лишь увеличившееся количество спама в их почтовых ящиках. Совсем другое — когда в потерянную базу попадают пароли или номера кредитных карт. Тогда жертвы могут столкнуться с утерей аккаунтов или кражей денег.

Не менее важны и последствия таких историй для компаний-источников данных. К примеру, утечка информации 3 млрд клиентов компании Yahoo позволила уменьшить ее стоимость при поглощении со стороны Verizon Communications с $4,8 млрд до $4,48 млрд. Потеря данных стоила акционерам компании около $300 млн. Бюро кредитных историй Equifax выразило готовность заплатить компенсацию в размере $700 млн за взлом и утечку данных 147 млн клиентов, а позже Федеральный суд США установил для компании штраф в размере $1,38 млрд для пострадавших. Что касается Marriott, которая “потеряла” данные 143 млн своих клиентов, в том числе номеров их кредиток, то компания сообщила только о финансовых потерях в размере $28 млн, из которых $25 млн составили страховые выплаты.

Наверное, самым громким случаем утечки данных в Украине стала история “Новой почты” — в феврале 2018 г. стало известно, что в Dark Web якобы продают базу клиентов компании, в которой насчитывалось 18,5 млн записей. Несколько месяцев спустя “Новая почта” официально заявила, что никакой утечки данных не было, это подтвердил аудит.

Кто виноват и что делать

В отчете 2019 Thales Data Threat Report аналитического агентства International Data Corporation (IDC) сказано, что 65% компаний так или иначе затрагивали утечки данных. При этом 24% утечек связаны с человеческими ошибками.

В 2010 г. в Украине начал действовать закон о защите персональных данных. Первоначальная цель этого закона — хоть как-то регламентировать работу с данными украинцев, понять, кому они принадлежат и, что не менее важно, установить ответственность за их потерю.

В истории Украины были случаи привлечения к ответственности за продажу данных. Например, в 2017 г. в торговле базой данных Государственной фискальной службы обвинили жителя Сум, через два года за такую же деятельность осудили жителя Харькова, а в 2018 г. в Запорожье поймали продавцов данных таможенной службы. Можно предположить, что это лишь единичные случаи, которые были зафиксированы стражами порядка и доведены до логического завершения. По крайней мере, наличие Telegram-ботов, так свободно распоряжающихся нашими данными, равно как и огромное число предложений о покупке данных в “Темной сети” и на хакерских форумах подтверждают подозрения о том, что закон о данных — это всего лишь формальность.

История с утечкой данных клиентов кредитного бюро Equifax привела к коллективному иску пострадавших и компенсации, превысившей $1 млрд, которую компания должна заплатить жертвам. В стране, живущей по принципу верховенства права, результатом появления столь одиозных Telegram-ботов может стать коллективный судебный иск к владельцам утерянных баз данных. К сожалению, в Украине такое развитие событий маловероятно.

Утечка через Telegram-боты — это история о безответственности и незащищенности. Отсутствие персональной ответственности должностных лиц, виновных в том, что эти данные стали доступны публично, — это самая главная проблема, без решения которой подобные Telegram-боты еще не раз будут появляться в сети.

Еще одна сторона этой истории заключается в попытке обвинить разработчиков “Дії” и Минцифры в утечке, хотя причин для таких утверждений нет. Обвинения базируются на отсутствии доверия к государству. Здесь поневоле вспоминаются слова министра Федорова о преувеличенной роли кибербезопасности, которую профессиональное сообщество и рядовые пользователи никак не могут ему простить. Государство устами Минцифры не раз говорило о желании объединить различные реестры в один. В этом случае риск утечки данных вырастет в сотни раз. В определенном смысле, авторы Telegram-ботов это уже сделали, имея где-то старые и не очень актуальные данные. Если же объединение произойдет и уже новые актуальные данные станут достоянием общественности, а также станет возможным проведение в онлайне через мобильное приложение юридически важных операций или участие в выборах, то уровень ущерба будет неизмеримо больший.

Надежда БАЛОВСЯК