Вчора з’явилася інформація, що на форумі RAID невідомі виклали оголошення про продаж даних з “Дія”, яку нібито було зламано. Ми не стали поспішати з новиною, яка на фоні російської загрози могла б виявитися провокацією. Проте зараз інформації про “злив” набагато більше, і можна предметно говорити про те, був злам  “Дія” чи ні, а також яку інформацію виклали зловмисники.

Що виклали хакери?

Чи зламали “Дія”? 

В оголошенні Ukrainian Leaks – 2022: diia.gov.ua – Users 2M пропонувалося купити за $15 тис. бази даних загальним розміром майже 30 ГБ, до кожного датасету були вибіркові семпли інформації, якими зловмисники нібито підтверджували автентичність даних.

Яку інформацію було викладено у “зливі”?

Архіви місять персональні дані 100 тис. людей, серед яких:

  • ПІБ
  • Дата народження
  • Стать
  • ІПН
  • Номер телефону
  • Електронна пошта
  • Серія, номер паспорта, дата його видачі та орган, що видав
  • Адреса реєстрації
  • Номер, дата видачі, термін дії ID-картки
  • Серія, номер, термін дії закордонного паспорта
  • Інформація, чи є громадянин ФОПом

Окрім того, там доволі великий набір сканів-картинок різних персональних доків та сміття. Починаючи від сканів паспортів, трудових книжок, різних довідок та закінчуючи картинками котиків (!). З цікавого — серед картинок є заявки “єМалятко” та деякі дані батьків-заявників, тобто інформація відносно свіжа, як мінімум з 2020 року.

Як написав у себе в Facebook спеціаліст з кібербезпеки Влад Стиран:

“На Даркнет-форумах регулярно з’являються так звані “склейки” даних з раніше зламаних джерел, які видаються продавцями за справжні результати свіжих операцій. Свідчити про такий “розвод” можуть розбіжності в форматах даних, низька репутація продавців на форумах, низька ціна дампів тощо”.

З цим важко не погодитися, адже викладена інформація занадто різноманітна та справді виглядає склеєною з різних джерел. Не факт, що її дістали з “Дія”, адже сервіс, наприклад, не підтягує дані паперових паспортів, але в ньому показуються електронні водійські посвідчення, які якраз в злив і не потрапили.

А от що в плані “Дія” справді викликає занепокоєння, так це злитий зловмисниками вихідний код вебпорталу. Звідки його було вийнято, до кінця не зрозуміло. Можливо це наслідки зламу розробника Kitsoft, а можливо і з якогось оточення всередині сітки держпідприємства.

“Проте, “вихідний код Дії” виглядає як OctoberCMS, тобто можливо це вебсайт Дії, який розробляв підрядник. Також, з параметрів конфігурації, таких як IP-адресація та налаштування сервісів, схоже, що це розробницька або тестова версія сайту. API Дії як такої в семплі ніде немає. Це легко перевірити, бо відкрита частина API опублікована в рамках Bug Bounty програми Дії”. – пише Влад Стиран.

Як пояснив нам знайомий професійний розробник, який побажав залишитися анонімним, сам факт витоку “вихідників” дуже поганий, адже сама система закрита (не open source) та у недоброзичливців є всі можливості вивчати вихідний код та потенційно знаходити “бекдори” (наприклад, не оновлені бібліотеки або просто “криві руки”) раніше “білих” аудиторів. Що цікаво — у логах фігурує 2021/12, що натякає про витік коду наприкінці 2021 року, тобто раніше атаки 14 січня.

Що кажуть у Мінцифрі?

Міністерство заперечує інформацію про злам, називаючи його спробою дестабілізації ситуації в країні.

Починаючи з минулих вихідних, в інтернеті постійно з’являються оголошення щодо продажу даних, нібито отриманих під час кібератаки, що відбулася з 13 на 14 січня. У тому числі багато оголошень стосується продажу бази даних “Дії”. Такі оголошення мають на меті не тільки залякати суспільство. А ще й дестабілізувати ситуацію в Україні, зупинивши роботу державного сектора.

Нагадаємо, що користувачами мобільного застосунку “Дія” є 13,5 млн українців. Він не зберігає персональних даних, а лише відображає те, що зберігається про них у відповідних державних реєстрах. Відвідувачами порталу Дія є понад 13 млн українців, а не 2 млн, як зазначається в оголошеннях.

Крім того, в Мінцифрі кажуть, що опубліковані дані були отримані до 2019 року, що насправді не зовсім відповідає дійсності. Адже послугу “єМалятко” запустили тільки у 2020 році. Хоча можливо, відомство мало на увазі тільки датасет зі 100 тис. персональних даних громадян.

Закликаємо українців не піддаватися паніці. Усі персональні дані перебувають під надійним захистом у держреєстрах. А оголошення про можливість купити дані, отримані після зламу 14 січня, є аферою: шахраї продають старі дані, що скомплектовані з багатьох джерел, які були злиті до 2019 року.

Схожими меседжами заспокоїти користувачів “Дія” спробував й міністр Михайло Федоров:

“Програма Дія не зберігає особисті дані. Тому, коли ви авторизуєтеся в Дії, документи підтягуються наново, а COVID-сертифікат потрібно генерувати наново. Додатком користуються 13,7 млн українців. Порталом користуються майже 13 млн українців. І, звісно, ​​кожна така новина викликає питання та тривогу.

Тиждень розганяється новина про 2 млн із Дії, з даними про послуги, які взагалі не надаються у Діі. Вже тиждень з’являються боти, в яких можна дізнатися про вас. Ми активно вивчаємо всі кейси, це виявляються скомплектовані дані з різних джерел, яких раніше було море в мережі, часто з одного популярного банку. Це було ще до старту роботи Мінцифри та створення Дії. Ми якраз і почали працювати над усіма цими випадками. Ми блокуємо такі ресурси та знаходимо ресурси інвестувати на захист реєстрів, щоб ваші дані були під контролем”.

Анонс послуги “єЗахист”

Мінцифри також повідомило про запуск нової послуги, яка має допомогти українцям краще розуміти, які реєстри містять їхню інформацію.

“Ми вирішили запустити найближчим часом послугу “єЗахист” у додатку “Дія”. Де кожен громадянин зможе дізнатися про базові правила кібербезпеки, в яких реєстрах є інформація про них. Наступним кроком буде запуск сервісу, де кожному українцю надходитиме повідомлення, коли чиновник перевіряє ваші дані в реєстрі”.

У підсумку

Від Мінцифри хотілося б отримати більш розширену інформацію за результатами перевірки даних “зливу” та зокрема розгорнутий коментар щодо викладеного вихідного коду порталу “Дія”. Адже відкрита комунікація щодо цієї ситуації, могла б зняти дуже багато питань.

Оновлено: Своїм досвідом після ймовірного зламу “Дія” поділився наш читач Віталій Бердинських, приводимо його роздуми нижче:

Восени після епопеї зі щепленням (Helsi хоча б не бреше що не зберігає мої дані, але працює так само убого як і “Дія”) я зміг сформувати ковід-сертифікат. Весь цей час він був доступний на сайті “Дія”. Тобто він десь якось зберігався. І я не чув, щоб у нас був якийсь окремий реєстр сертифікатів вакцинації, в який був би окремий (від “Дії”) доступ.

Після злому в ніч з 13 на 14 “Дія” (мова звичайно ж про сайт, думаю це зрозуміло всім) спочатку взагалі не була доступна, потім сайт піднявся, але доступу до кабінету не було – при спробі увійти він переадресовував назад на головну сторінку, оскільки “дієтологи” не спромоглися зробити хоч якесь повідомлення про те, що доступ до кабінету не можливий.

Але десь із вечора четверга нарешті запрацював і кабінет. Я цікавився кабінетом не просто так, не тільки тому, що стався злом, а й тому, що хотів роздрукувати ковід-сертифікат, оскільки старий паперовий варіант був досить пошарпаний часом. Але у п’ятницю мені це не вдалося. Сьогодні вже понеділок, півтора тижня після зламу – а сертифікат, як і раніше, не можна звантажити. Він відображається у списку доступних документів. Але ні кнопка перегляду, ні кнопка завантаження нічого не роблять. Якщо “Дія” не зберігає в себе нічого, якщо хакери не могли знищити базу даних з моїм сертифікатом (попутно завантаживши цю базу і продавши за 80к доларів на рейді) – то в чому ж проблема, чому я не можу отримати свій старий сертифікат?

Проблему звичайно ж можна вирішити формуванням нового сертифіката, але ж ми тут обговорюємо не розв’язання особистої проблеми, а проблеми які з’явилися у “Дії”: відсутність захисту даних користувача, брехня про те, що дані не зберігаються в “Дії”, а як результат – втрата цих даних внаслідок їх викрадення та зловмисного видалення з серверів “Дії”, де вони нібито не зберігаються.