Що відбулось
Минулого тижня, 14 січня 2022 року, сайти органів влади в Україні стали жертвами масштабної кібератаки. Хакери атакували близько 70 державних вебсайтів, зокрема, сторінки Міноборони, МЗС, ДСНС та інших. Атакували й портал «Дія».
На зламаних сторінках зловмисники замінили стартові сторінки повідомленнями з погрозами українською, російською та польською мовами, згадали про Волинь, УПА, Галичину й Полісся. Утім спроба замаскуватися під польських хакерів була явно невдалою – через надто очевидні помилки в польському варіанті повідомлення.
Тоді в Міністерстві культури та інформаційної політики заявили, що атакували, найімовірніше, російські хакери. Саме таку версію висунув і секретар РНБО Олексій Данілов.
Усі атаковані держсайти побудовані на системі CMS October компанією Kitsoft. Ця компанія досі займається розробкою та підтримкою компонентів «Дії».
Унаслідок кібератак сайт «Дії» не працював п'ять днів, тоді міністр цифрової трансформації Михайло Федоров заявив, що персональні дані українців у безпеці.
За лічені дні після того, як сайт «Дії» відновив роботу, у ніч з 21 на 22 січня 2022 року, на інтернет-порталі RaidForums користувач з ніком FreeCivilian виклав персональні дані понад двох мільйонів українців. Усього 30 гігабайтів даних: цифрові підписи, іd-карти, закордонні паспорти та водійські посвідчення, таблиці з е-мейлами, ІПН, телефони та інше – усього 2,5 мільйони записів. Також 13,5 мільйонів фото документів і ще 4,1 мільйона документальних записів.
Нагадуємо, що станом на січень 2022 року сервісами «Дії» користується 13,5 мільйонів українців.
Речник Українського кіберальянсу Шон Таунсенд одним з перших повідомив про злив на RaidForums.
«Близько двадцяти гігабайтів архівів. Як «зразок». Хотілося б почути втішний коментар з цього приводу. Я дійсно не знаю, звідки такі дані, не можу перевірити. Але їх багато. І вони дуже схожі на справжні», – написав він.
Те саме написала на своїй сторінці Гільдія IT Фахівців.
«Наші з вами дані знову витекли та потекли. «Дію» ломанули. Учора, 21 січня, свіжозареєстрований користувач одного з тематичних форумів під ніком «Free civilian» виставив оголошення на продаж даних мільйонів українців, стверджуючи про їх походження з сайту diia.gov.ua. Інформацію, що потрапила йому до рук, він оцінив у $15,000», – йдеться у повідомленні.
У Мінцифрі заперечують злив даних
У Мінцифрі інформацію про «злив» персональних даних з «Дії» вважають фейком та елементом гібридної війни проти України.
«Україна продовжує захищатися у гібридній війні. Основна мета ворога – підірвати довіру до влади фейками про вразливість критичної інформаційної інфраструктури та «злив» даних українців. Про це тиждень тому вже повідомляв Центр стратегічних комунікацій та інформаційної безпеки», – йдеться у релізі Мінцифри.
У міністерстві нагадали, що «Дія» не зберігає персональних даних, а лише відображає те, що зберігається про них у відповідних державних реєстрах. Тому вкрасти їх з «Дії» неможливо. Спеціалісти Мінцифри впевнені, що оголошення про можливість купити дані, отримані після злому 14 січня, є аферою.
«Шахраї продають старі дані, що скомплектовані з багатьох джерел, які були злиті до 2019 року», – кажуть у Мінцифрі.
За даними Центру стратегічних комунікацій та інформаційної безпеки, оголошенням про продаж персональних даних вже більше тижня. Вони теж підтверджують заяву Мінцифри про те, що дані, які продає FreeСivilian, були злиті до 2019 року.
Втім, чимало записів з дампу, який фахівці з кібербезпеки перевірили на прохання LB.ua, містять інформацію, датовану кінцем 2021 року. Окрім паспортів і id-карток, дамп містить фото атестатів і трудових книжок, яких немає у "Дії".
Чи злиті дані з «Дії»?
Експерт з кібербезпеки Костянтин Корсун назвав інцидент майже техногенною катастрофою. Він вважає, що це найбільший злив персональних даних за всю історію України, саме з порталу «Дія».
«Деякі фахівці скачали та перевірили семпли (зразки, –LB.ua) і за більшістю ознак схоже на те, що це дійсно база з порталу «Дія». Дані свіжі, дані актуальні. Найсвіжіший запис датований 15 грудня 2021 – три тижні тому, – написав у Facebook Корсун. – Сказати чесно, особисто я до останнього не вірив у можливість от прям «зливу бази даних «Дії». Вони там тупуваті та безграмотні, але ж не настільки. Має ж у них бути інстинкт самозбереження. Я навіть вірив, що таки дійсно, постійно дані в «Дії» не зберігаються, а «Дія» є дійсно лише транзитом, блискучим «краником» між базами/реєстрами та смартфоном користувача. А от настільки. Немає інстинкту. Нуль професіоналізму. Зіро здорового ґлузду».
На його думку, усі крапки на «і» могло б поставити незалежне розслідування.
«Дія» дійсно не зберігала дані – це просто неможливо, у країні близько 350 баз даних та реєстрів. Але це могли бути якісь тимчасові або допоміжні дані/файли. Усе б вирішило незалежне розслідування, але його, зі зрозумілих причин, не буде», – заявив LB.ua експерт.
Ярослав Гарагуц, засновник та розробник системи аналізу відкритих даних Clarity Project, також упевнений, що найімовірніше джерело даних – злив з порталу «Дія».
«Я би поставив на те, що це реальний злив з порталу «Дія» – на 85%. Або ж хороше маскування під нього з політичними цілями», – написав він у Facebook.
Натомість програміст і волонтер, розробник додатку для військових «Джура», Володимир Пасіка припустив у розмові з LB.ua, що дані справді «свіжі», але не з «Дії».
«Дамп (файл зі вмістом бази даних на певний момент часу, – LB.ua) не відповідає базі даних викладеного порталу. Можливо справді компіляція, яку додали для ефекту повного зламу», – вважає експерт.
Також у себе в Facebook він написав, що копію файлів могли вкрасти у когось з розробників Kitsoft і зімітувати «злам», щоб замести сліди.
Згодом Володимир Пасіка вже ж визнав, що злив з «Дії» таки можливий.
«В дампі злитих JSON документів користувачі знаходять свої дані, які по структурі відповідають структурі видачі даних порталом «Дія». Також там лежить біля 6200 записів даних Є-малятко, які можна
подати через «Дію» або офлайн», – написав він на facebook.
Російський слід
Експерти сходяться на тому, що «злам» «Дії» чи інформація про це, може бути лише частиною спецоперації росіян. За словами Володимира Пасіки, 100% військових хакерів у Росії маскуються під комерційних.
«Росіяни робили дефейс (тип хакерської атаки, при якій сторінка веб сайту замінюється на іншу, – LB.ua) і компіляцію дампу для імітації «успішного зламу», маючи при цьому лише обмежені можливості. Якби це був реальний злив, то тримали б доступ до персональних даних «живим» до повної втрати контролю. Це може бути просто психологічна операція. Я на 99% впевнений, що вони змогли зламати сайти і розмістити на їх сторінках певний контент, але не змогли залізи в реальну базу», – переконаний він.
Костянтин Корсун також вважає, що за зливом може стояти Росія і тамтешні спецслужби просто вирішили розіграти карту невдоволення населенням країни додатком «Дія».
«Думаю, це все ж таки РФ. Скористалися масовим невдоволенням «Дією» та примусовим затягуванням користувачів в неї. Плюс почастішали «кредити через Дію». Це цілком у їхньому стилі», – переконаний він.
Ситуація зі зливом даних є схожою на російську інформаційно-психологічну операцію, переконаний Володимир Пасіка.
«До реальних даних (дані реєстрів або доступу до серверів додатку) росіяни не дотягнулися і тому зробили тупий дефейс (опублікували якийсь шлак на сторінка державних сайтів) і видають це за 100% доступ до сервера. Якби в них був 100% доступ до сервера стількох держсайтів, його б не «палили» для незначної шкоди, – переконаний він. – Успішності цій операції додає позиція офіційний органів, які продовжують говорити, на мою думку, не зовсім правду і посилати армію ботів на сторінку Шон Таунсенд, замість адекватної відповіді суспільству про свій провал».
Допис речника Українського кіберальянсу Шона Таунсенда про ймовірний злив на момент написання тексту прокоментували понад три тисячі разів. Більшість коментарів однотипні, мовляв, оприлюднена експертом інформація – фейк. А сторінки більшості коментаторів мають усі ознаки ботів. Аналогічної атаки зазнала і сторінка самого Володимира Пасіки.
Треба міняти паспорт?
Основними постраждалими у цій ситуації, як завжди залишаються пересічні громадяни.
Тим, чиї персональні дані опинились у шахраїв, Вадим Пасіка радить змінити документи.
“Тут вже нічого не зробиш. Хіба міняти паспорт та цифровий підпис. Хоча різні дані «гуляють» мережею роками. Знести (видалити, – LB.ua) у смартфоні «Дію» вже не допоможе. Дані та цифрові ключі вже «потекли». Треба вимагати критичних оновлень, які зроблять старі ключі недійсними», – каже Володимир Пасіка.
А от Костянтин Корсун вважає, що для громадян можливий злив нічого не змінить. Оскільки даними та базами торгують десятиліттями самі адміністратори баз.
«Єдине, що важливо знати простим громадянам – діджиталізацією займаються безвідповідальні та некваліфіковані особи. На помилки їм вказували з 2019 року, але їхня відповідь – заперечення, хамство, приниження опонентів, ігнорування фахової думки, легковажне ставлення для кібербезпеки, самовпевненість та пиха. Щоб змінити ситуацію, треба переглянути вимоги уряду до цифровізації та національної кібербезпеки», – вважає експерт.
Основною загрозою від витоку даних для громадян є те, що шахраї отримають доступ до паспортних і банківських даних чи оформлять на когось кредит.
Експерти радять регулярно моніторити свої записи в реєстрах, рахунки в банках, підключити інформування про запити щодо кредитної історії (їх роблять при відкритті нового кредиту) або ж узагалі обмежити можливість відкриття нових кредитів. І, звісно ж, з пересторогою ставитися до дзвінків з невідомих номерів з пропозиціями фінансових послуг чи нібито від «служби безпеки вашого банку».