В Україні існують закриті групи в телеграм, куди анонімно може додатися будь-який користувач і купити різні бази даних. Ми зібрали дані минулих років, які буквально віддавали даром і об’єднали їх в єдину систему. Серед них були як бази приватних компаній, на кшталт Приватбанку, Нової пошти і Київстару, так і державні реєстри. Наприклад, база виборців України.Налаштувавши пошук в базі, у користувача є можливість не просто дізнатися дані конкретного користувача, але і з’ясувати імена його колег і навіть сусідів. Абсолютно безкоштовно, за допомогою лише мобільного телефону і Excel за кілька днів була зібрана база даних 11 млн українців. В якості демонстрації нашої інформаційної уразливості, на форумі у кожного учасника була можливість “погуглити” себе в базі і побачити, які його дані вже стали доступні шахраям. Практично 80% з них знайшли інформацію про себе в “компільованою” базі.

Не так давно про витік персональних даних знову заговорили.

Інформаційним приводом став телеграм-бот, який незаконно надавав персональні дані українців .

Перші згадки про боти датуються ще кінцем березня. Але лише 11 травня, коли в каналі повідомили про доступ до великого масиву даних водійських посвідчень, про нього заговорили на повний голос.

Читайте також – Кто-то в очередной раз слыл наши данные в сеть. Вы еще НЕ привыкли?

У пошуках джерела зливу погляди звернулися на сервіс державних послуг “Дія”, запущений кілька місяців тому Міністерством цифрової трансформації. Причина проста – одним з перших документів, який став доступним в додатку, стали якраз водійські права.

Винна Дія чи ні?

Я вирішив розібратися, чому звинувачувати “Дію” не має сенсу і що робити тим, чиї дані стали надбанням громадськості.

Почнемо з простого. Кількість скачувань додатки “Дія” на Android склало приблизно 2 млн разів. Виходячи з пропорцій користувачів Android і IOS, можна припустити, що користувачі айфонів завантажили додаток десь 1 млн разів. 7 травня на офіційній сторінці “Дія” опублікували статистику завантажень – вона склала 3 млн завантажень. На початку лютого, в момент запуску програми, в профільному міністерстві повідомили про те, що до кінця року кількість користувачів додатком “Дія” збільшиться в тисячу разів – до 10 млн.

При цьому, необхідно зазначити, що завантажені документи в додаток складають ~ 80% від загальної кількості завантажених додатків, тобто, в базі зазначеного додатка, при оптимістичних прогнозах, на даний момент може знаходиться ~ 8 млн. Водійських прав і технічних паспортів. У самому ж боті UA Baza BOT (на даний момент вже заблокований) 11 травня вийшло оновлення, яке в себе включало 26 млн водійських посвідчень.

Після того, що сталося скандалу з нібито витоком даних з програми “Дія” в Міністерстві цифровий трансформації України в якості спростування заявили про те, що в Україні всього 9,5 млн. Водійських прав, з яких в додатку відображаються 6,5 млн., Що підтверджує мої калькуляції. Крім цього, додаток “Дія” не має власних баз даних і не зберігає інформацію на своїх серверах.

Хочете дізнатися всі деталі? Можливо, ваші дані теж потрапили в продаж – В Telegram продают 900 ГБ персональных данных украинцев. Откуда данные и что делать?

Попередній аналіз інформації бота свідчить про використання старих баз. Як я писав вище, всі вони вже давно доступні в Darknet. Зокрема, провівши аналіз з’ясувалося, що даний бот із завидною регулярністю поповнювався новими базами.

Хронологія розвитку і наповнення базами віддаленого бота виглядала так:

14 квітня додана база кредитних історій 2012 – 2016 рр. (175 372 особи; 230 562 телефонів)

15 квітня додана база накрутки передплатників інстаграм (СНД) (123 344 записи: логін інстаграм, ip adress, телефон, email)

17 квітня додана база контактів (148 млн. Контактів)

23 квітня додана база 2GIS (128 075 записів з телефонами, 226 872 компаній, 32 998 email, 4 199 сайтів)

30 квітня додана база недійсних і загублених паспортів (6 711 763 документів)

03 травня додана база резюме з IT-ресурсу habr.com (160 000 резюме, 90% з фото)

04 травня додана фб-база (285 638 анкет людей, які брали участь в агітації за різні політичні сили)

07 травня додана база JTP Partner Україна (14 000 контактів офіційних представників JTP Partner)

11 травня додана база водійських посвідчень з фото (26 млн. Посвідчень водійських прав, 5,2 млн. Фото)

На даний момент бот заблокований, але разом з тим в мережі множаться фейковий акаунти з подібною назвою, які також пропонують продаж даних за $ 50-200. На ділі такі акаунти не мають ніяких баз, а є звичайними паразитами на тлі підігрітого інтересу до теми.

Читайте також – Карантинная реальность: мессенджеры вместо личных встреч. Время защищать данные

Що це означає для користувачів?

Лише те, що пора перестати вірити в те, що наша приватність може бути порушена. Вона втрачена і втрачена назавжди. Гарантувати безпеку наших персональних даних на даний момент не можуть ні державні органи, ні приватні компанії.

Крім цього, ми самостійно щодня добровільно віддаємо свої дані різних сервісів і повинні бути готові до того, що рано чи пізно вони стануть доступні іншим людям.

Тут, як з коронавірусом – неможливо протистояти загрозі, але можна виробити безпечні правила поведінки:

Майте різні пошти для робочих і особистих завдань. Встановлюйте складні (неочевидні) комбінації паролів і періодично їх міняйте;

Проводьте ревізію пошт і видаляйте листи з конфіденційною / особистою інформацією (паролі, телефони, адреси, дані паспортів);

Майте окремий номер телефону для фінансових операцій. Не вказуйте його ніде і не використовуйте для інших цілей, крім банківських операцій;

Прив’яжіть акаунти соціальних мереж до окремої пошти, не пов’язаної іншими поштами (в тому числі, відсутність зв’язку за назвою пошт);

Уважно ставтеся до вхідних листів, в яких використана ваша особиста інформація (марка і номер автомобіля, домашню адресу або імена родичів). Валідуйте такі листи з декількох джерел і лише потім відповідайте на них.