"Дія" ни при чем. Как украинцы теряют контроль над персональными данными
Можем ли мы представить, сколько государственных реестров и частных компаний владеют информацией о нас? Салон красоты или спортивный клуб просит указать место проживания и дату рождения, сеть продуктовых магазинов хочет узнать наше место расположения, государственная поликлиника или частный медицинский центр - получить информацию о заболеваниях и трудоустройстве. А "Новая почта", крупнейший оператор доставки, а до недавнего времени еще и монополист этого рынка, еще и знает паспортные данные и всю историю онлайн-покупок. Очевидно, что в той или иной степени эта информация критически важна для их деятельности - например, для того, чтобы продавать больше товаров и услуг, которые якобы нам нужны, советовать выгодные скидки и персональные предложения.
Сложно даже представить, какое количество данных о конкретном лице доступно в больших и малых базах данных, в защищенных и свободно доступных облаках, на компьютерах и флеш-носителях различных компаний и структур. Объединить и сопоставить эти данные можно по нескольким параметрам. Во-первых, по номеру телефона, который многие люди стараются не менять годами. И во-вторых, по идентификационному коду. Конечно, для начала нужно иметь доступ. А еще обладать инструментами, которые позволяют работать с базами данных - например, проводить поиск, сравнение, объединение записей в них.
На этой неделе активизировался один из Telegram-каналов, предлагающий доступ к персональным данным украинцев. Он наглядно продемонстрировал, что украинцы уже не владеют собственными данными, в том числе персональными. И что доступ к этой информации при желании может получить практически кто-угодно.
Разыскиваются все. Как Telegram-каналы продают данные украинцев
12 мая один из Telegram-ботов, который еще с апреля предлагал поиск персональной информации граждан Украины, в своем специальном новостном канале сообщил, что теперь в базе появились водительские удостоверения, больше 26 млн и фотографии - более 5,2 млн снимков.
Бесплатно Telegram-бот предлагал поиск по пяти запросам. В качестве параметра запроса нужно было указать номер телефона.
Люди сразу же бросились искать информацию о себе, хотя делать это категорически не советовали специалисты по безопасности. Люди делились результатами у себя в Facebook и Twitter, обсуждали результаты поиска, пытаясь понять, откуда этот столь много знающий Telegram-бот получил столько подробной информации.
Любой, кто проводил поиск по этим ботам, мог видеть, что авторы Telegram-бота в выдаче указывали нечто похожее на названия используемых ими баз данных.
Среди использованных баз данных в выдаче присутствовали следующие: "Финансы 12/2019", "Новая почта 07/2018", "UA 2007", "ТС", "Архив 2012", "Выборы 2014", "Водительское удостоверение".
Можно предположить, что авторы этого Telegram-бота получили базы данных из архива за 2012 г., базы избирателей 2014 г., водительских удостоверений и транспортных средств, базы клиентов "Новой почты" и еще несколько других.
Около 15:00 12 мая Telegram-бот перестал работать и был удален. Очевидно, это произошло в результате волны возмущения и публикаций в СМИ.
Telegram-безумие наглых
Впервые скандальный Telegram-бот вместе еще с несколькими аналогичными инструментами появился еще 23 апреля. Другие Telegram-боты позволяли проводить поиск по номеру телефона и получать полные данные найденных людей, включая налоговый номер, номер паспорта и номера телефонов, а еще - связанных с ними лиц. Тестирование показало, что это сравнительно старые данные, многие из которых были уже неактуальны, к примеру, отражалась старая информация по месту жительства. Тогда пользователи сети связали этот бот с базой данных клиентов Приватбанка.
Некоторые из ботов, созданных в конце апреля, были заблокированы, однако некоторые из них работают и сейчас, но только на платной основе: демо-доступ с определенным количеством бесплатных запросов уже не предлагается. Найти такие боты можно обычным поиском в Telegram.
При чем тут приложение "Дія" и что сделала полиция
Первая волна обсуждений Telegram-ботов сопровождалась обвинениями в сливе данных Министерства цифровой трансформации через приложение "Дія". Причин связывать эти инструменты и "Дію" может быть несколько. Одна из них - незадолго до появления Telegram-ботов Минцифры анонсировало появление водительских прав в "Дії". Да и в целом "Дія" создавалась как инструмент, который позволял хранить на смартфоне в мобильном приложении цифровые копии документов.
Весьма оперативно министр Михаил Федоров опроверг принадлежность "Дії" к утечкам, объяснив, что приложение не хранит данных ни на смартфоне пользователя, ни на собственных серверах, а только получает доступ к данным государственных реестров. Анализ содержания базы, на основе которой работали Telegram-боты, показывает, что действительно, скорее всего, приложение "Дія" здесь ни при чем, а Telegram-бот работает на основе объединенных скомпилированных баз данных, которые стали доступными в разное время и из разных источников. Это же подтверждает анализ, который провели некоторые специалисты по безопасности: Telegram-бот оперирует иногда даже более новыми данными - некоторых документов в "Дії" еще не было, а через бот они были доступны.
Однако из-за того, что код "Дії" не является открытым и приложение не проходило независимого аудита безопасности, нельзя однозначно быть уверенным в непричастности "Дії" к утечкам. Уже 13 мая появилось заявление Нацполиции об отсутствии фактов кибератак на "Дію".
В процессе поиска виновных досталось и разработчикам проекта Opendata - инструмента, который уведомляет об изменениях в открытом реестре, однако в компании все обвинения опровергают.
Национальная полиция открыла уголовное дело по факту утечки персональных данных.
А на следующий день после закрытия бота появились предварительные сведения о том, что к утечке могут быть причастны специалисты Главного сервисного центра МВД и миграционной службы.
"Дырявые" базы: утечки данных в Украине и мире
Утечки данных стали признаком нашего времени. Мало какой онлайн-сервис или крупная компания могут похвастаться тем, что данные их клиентов ни разу не становились доступными другим людям. Лидером по количеству потерянных записей данных является компания Yahoo, которая в 2013 г. "потеряла" данные 3 млрд или всех своих пользователей почтовой службы Yahoo - их данные стали доступны хакерам. Среди таких жертв утечек - сервис Facebook, сеть отелей Marriott, онлайн-проекты Zygna, eBay, LinkedIn, сервис кредитных историй Equifax.
Во всех этих случаях важно знать, какие данные были потеряны, каким образом злоумышленники получили к ним доступ и какими были последствия утечек.
Часто информация о способе взлома и то, какие данные были потеряны, не обнародуется. Компании предпочитают сообщать клиентам о "крайней необходимости изменить пароль", но иногда и просто замалчивают факт потери данных. Одно дело, когда речь идет об электронных адресах и именах пользователей и результатом утечки может стать всего лишь увеличившееся количество спама в их почтовых ящиках. Совсем другое - когда в потерянную базу попадают пароли или номера кредитных карт. Тогда жертвы могут столкнуться с утерей аккаунтов или кражей денег.
Не менее важны и последствия таких историй для компаний-источников данных. К примеру, утечка информации 3 млрд клиентов компании Yahoo позволила уменьшить ее стоимость при поглощении со стороны Verizon Communications с $4,8 млрд до $4,48 млрд. Потеря данных стоила акционерам компании около $300 млн. Бюро кредитных историй Equifax выразило готовность заплатить компенсацию в размере $700 млн за взлом и утечку данных 147 млн клиентов, а позже Федеральный суд США установил для компании штраф в размере $1,38 млрд для пострадавших. Что касается Marriott, которая "потеряла" данные 143 млн своих клиентов, в том числе номеров их кредиток, то компания сообщила только о финансовых потерях в размере $28 млн, из которых $25 млн составили страховые выплаты.
Наверное, самым громким случаем утечки данных в Украине стала история "Новой почты" - в феврале 2018 г. стало известно, что в Dark Web якобы продают базу клиентов компании, в которой насчитывалось 18,5 млн записей. Несколько месяцев спустя "Новая почта" официально заявила, что никакой утечки данных не было, это подтвердил аудит.
Кто виноват и что делать
В отчете 2019 Thales Data Threat Report аналитического агентства International Data Corporation (IDC) сказано, что 65% компаний так или иначе затрагивали утечки данных. При этом 24% утечек связаны с человеческими ошибками.
В 2010 г. в Украине начал действовать закон о защите персональных данных. Первоначальная цель этого закона - хоть как-то регламентировать работу с данными украинцев, понять, кому они принадлежат и, что не менее важно, установить ответственность за их потерю.
В истории Украины были случаи привлечения к ответственности за продажу данных. Например, в 2017 г. в торговле базой данных Государственной фискальной службы обвинили жителя Сум, через два года за такую же деятельность осудили жителя Харькова, а в 2018 г. в Запорожье поймали продавцов данных таможенной службы. Можно предположить, что это лишь единичные случаи, которые были зафиксированы стражами порядка и доведены до логического завершения. По крайней мере, наличие Telegram-ботов, так свободно распоряжающихся нашими данными, равно как и огромное число предложений о покупке данных в "Темной сети" и на хакерских форумах подтверждают подозрения о том, что закон о данных - это всего лишь формальность.
История с утечкой данных клиентов кредитного бюро Equifax привела к коллективному иску пострадавших и компенсации, превысившей $1 млрд, которую компания должна заплатить жертвам. В стране, живущей по принципу верховенства права, результатом появления столь одиозных Telegram-ботов может стать коллективный судебный иск к владельцам утерянных баз данных. К сожалению, в Украине такое развитие событий маловероятно.
Утечка через Telegram-боты - это история о безответственности и незащищенности. Отсутствие персональной ответственности должностных лиц, виновных в том, что эти данные стали доступны публично, - это самая главная проблема, без решения которой подобные Telegram-боты еще не раз будут появляться в сети.
Еще одна сторона этой истории заключается в попытке обвинить разработчиков "Дії" и Минцифры в утечке, хотя причин для таких утверждений нет. Обвинения базируются на отсутствии доверия к государству. Здесь поневоле вспоминаются слова министра Федорова о преувеличенной роли кибербезопасности, которую профессиональное сообщество и рядовые пользователи никак не могут ему простить. Государство устами Минцифры не раз говорило о желании объединить различные реестры в один. В этом случае риск утечки данных вырастет в сотни раз. В определенном смысле, авторы Telegram-ботов это уже сделали, имея где-то старые и не очень актуальные данные. Если же объединение произойдет и уже новые актуальные данные станут достоянием общественности, а также станет возможным проведение в онлайне через мобильное приложение юридически важных операций или участие в выборах, то уровень ущерба будет неизмеримо больший.