Злив персональних даних українців: що сталося і як захиститися

В Україні набирає обертів кіберскандал: один з анонімних ботів у телеґрамі отримав доступ до персональних даних 26 мільйонів українців і торгує ними. Дехто з українських громадян знайшов там інформацію про свої водійські посвідчення, які реєструвалися в державному застосунку «Дія». Відтак люди, чиї персональні дані стали публічними, а також частина експертів вважають, що саме запуск цієї платформи спричинив витоки з державних баз даних. В Мінінформації ці закиди спростовують, а тим часом справу почала розслідувати СБУ.

Що насправді сталося? І чи може пересічний українець зробити інформацію про себе більш захищеною?

Що сталося?

Телеґрам-канал UA Baza Bot, уже деякий час відомий тим, що торгує персональними даними українців, 11 травня повідомив, що його базу поповнили мільйони водійських посвідчень. Українці, які почали «шукати себе» через цей канал, виявили там дані щодо власних посвідчень: деякі старі, і навіть загублені. Деякі – нещодавно видані, або напередодні зареєстровані в державному застосунку «Дія».

Голова громадської організації «Електронна демократія» Володимир Фльонц, перевіряючи свої дані через цей анонімний канал, виявив там інформацію про свій внутрішній і закордонний паспорти, водійське посвідчення і навіть паролі від своєї електронної пошти. Він першим почав бити на сполох, його допис набрав з пів тисячі поширень.

Водночас, попереджає Володимир Фльонц, кожен, хто реєструється для пошуку своїх персональних даних на цьому чи схожих ресурсах, сам же ділиться з ними інформацією про себе.

Частина користувачів соцмереж виявила там такі свої персональні дані:

• із банківських реєстрів, зокрема дані з «Приватбанку» до його націоналізації;
• із соцмереж, зокрема логіни й паролі з мереж «ВКонтакте» й Linkedin;
• із закордонних і внутрішніх паспортів;
• із електронної пошти;
• із водійських посвідчень.

Останній момент уже викликав обурення частини українців: чимало з них признаються у соцмережах, що виявили на телеґрам-каналі ті свої дані (зокрема водійські права), які вони не так давно вводили у державному застосунку «Дія».

Нині скандальний телеґрам-канал припинив свою роботу через скарги, але створив свої клони, на які закликає підписуватися всіх охочих.

До чого тут «Дія»?

«Дія» – державний мобільний застосунок, який дає змогу користуватися цифровими документами особи (паспорти, водійські й студентські посвідчення) і низкою публічних послуг. Його тестують із кінця 2019 року, а з лютого 2020 року ;він, зокрема, дозволяє користуватися водійським посвідченням в електронній формі.

Саме «Дію» й її творців частина українців звинувачує у злитті персональних даних в анонімні телеграм-канали.

Зі свого боку, міністр цифрової трансформації Михайло Федоров наголошує, що «Дія» непричетна і не може бути причетною до витоків персональних даних.

«Це неможливо навіть теоретично! По-перше і головне, «Дія» не має бази даних і не накопичує таку інформацію. По-друге, кількість інформації, яка доступна у зазначеному боті, набагато, в десятки, а то й сотні разів, перебільшує ту, з якою працює «Дія». По-третє, попередній аналіз інформації бота свідчить про використання старих баз даних, які вже не один рік доступні в «даркнеті» (тіньовому сегменті інтернету – ред.). Зокрема, йдеться про базу даних «Приватбанку» (до націоналізації), а також інших приватних (недержавних) баз даних. Наприклад, в боті доступні паролі від «ВКонтакте» та Linkedin», – аргументує керівник Мінцифри.

Також він припускає, що звинувачення на адресу «Дії» у злитті даних може бути цілеспрямованою інформаційною атакою після того, як Мінцифри спільно з СБУ анонсувало аудит державних реєстрів.

Зі свого боку, в Нацполіції запевняють, що, за попередньою інформацією, дані, які можна купити в «Телеґрамі», взяті не з системи «Дія».

Походження масштабного витоку (чи кількох витоків) даних розслідує також Служба безпеки України.

ДИВІТЬСЯ ТАКОЖ:

ДБР розслідує причетність посадовців МВС та ДМС до витоку персональних даних громадян

Звідки й як «витекли» дані?

Що це було: нове злиття даних, великий витік, спричинений саме роботою застосунку «Дія»? Чи хтось створив у «Телеґрамі» «базу» на основі всіх минулих витоків? Експерти, яких опитало Радіо Свобода, стверджують: найімовірніше, що люди, які стоять за телеґрам-каналом, змогли поєднати найбільші оцифровані державні й комерційні реєстри, витоки з яких ставалися й раніше і які були доступні в «даркнеті» (тіньовий, не загальнодоступний сегмент інтернету, в якому, зокрема обмінюються й торгують даними хакери – ред.). Водночас принаймні частина даних з телеґрам-каналу – це нещодавні витоки, визнають фахівці.

Експерт із кібербезпеки Костянтин Корсун: «Ця тема не вчора виникла. На хакерських мережах ці бази даних є не менше ніж 20 років. Телеґрам-бот, про який ідеться, давно працює. Переважно він видає сміття – застарілі чи втрачені дані. Але є й частина нових записів. Усе це виглядає як компіляція в різні часи вкрадених баз. Причетність до цього «Дії» – складно сказати, так чи ні. Ми з колегами давно критикуємо Мінцифру, які часто не розуміють питань, про які говорять. Ми кажемо, що не можна так нехтувати кібербезпекою. «Дія» – застосунок із недоведеною безпекою, незрозуміло, які приховані функції він має, як іде трафік, що він використовує. Але якщо поява «Дії» й має стосунок до витоку – то лише дотично, частково. В Україні дані розкидані по 300 різних реєстрах, і наразі ми цього не змінимо. І наразі немає єдиної точки, в яку всі ці дані стікаються. А Міцнифри, «зелена» (я маю на увазі «некомпетентна») команда, хоче «цифровізувати хаос». Щоб умовний «товариш майор» міг однією клавішею контролювати все».

Експерт «Лабораторії цифрової безпеки» Вадим Гудима: «За всіма ознаками – це зібрані докупи витоки з великих державних сервісів і банківських баз даних. Але щоб сказати конкретно – треба, щоб це все розслідували фахівці. Є способи зрозуміти, наскільки це актуальна інформація і приблизно в який час і звідки витекла – якщо мати доступ до баз даних, із яких вона могла походити. Найкраще, щоб це робили компетентні органи, якщо, звісно, вони реально готові цим займатися».

Радник із кібербезпеки партії «Демократична сокира» Шон Таунсенд: «У цьому боті використані відразу кілька баз, що «потекли» в різний час. Хоча багато людей знайшли там дані, які вносилися протягом останніх декількох тижнів, включно й зі світлинами з нещодавно виданих закордонних паспортів. Є як старі витоки, так і нові… Захиститися можна лише єдиним способом: якнайрідше залишати свої дані кому заманеться і дотримуватися добре відомих правил безпеки (не використовувати прості чи однакові для різних сервісів паролі, не встановлювати застосунки, які припало – особливо державні!). Від держави, яка від лінощів «хоче все знати» і збирає безліч даних, яких насправді збирати не повинна, захиститися, звісно, складніше».

Керівник компанії «Хайдіз Девелопмент» Олег Науменко: «Вже багато років ці реєстри продаються у «даркнеті» (тіньовий сегмент інтернету – ред.). Зараз такого бізнесу не стало менше, та навіть побільшало. Це було завжди, але раніше про це чомусь не дуже говорили. «Дія» не використовує нових сховищ, а їх поєднує. Просто зараз це кастомізували у приємному і зручному форматі. А витоки з реєстрів виникли не тепер, це проблема вчорашнього чи навіть позавчорашнього дня».

Як захистити свої персональні дані?

Чи може звичайний українець принаймні зменшити ризик незаконного збирання і поширення даних про себе? Може, але лише до певної міри, стверджує більшість експертів опитаних Радіо Свобода. Ось що вони радять:

• Використовувати для листування лише шифровані месенджери. Наприклад, «Вотсап», «Месенджер» (застосунок для листування у «Фейсбуці») тощо. Не використовувати для комунікації СМС та месенджери і соцмережі, які мають російське походження або російських засновників – «ВКонтакте», «Телеґрам» тощо.
• Застосовувати двофакторну автентифікацію скрізь, де це можливо.
• Застосовувати електронний цифровий підпис.
• Застосовувати активацію пристроїв і застосунків через біометричні дані. Наприклад – через відбиток пальця.
• Використовувати складні паролі, різні для різних сервісів. Не використовувати однотипного паролю для різних платформ.
• Регулярно замінювати паролі.
• Не встановлювати на смартфон сумнівних і ненадійних застосунків. Частина експертів відносить до таких і українські державні онлайн-сервіси.
• Ніде й ніколи не вводити логін і пароль від електронної пошти, крім самої електронної пошти. Те ж саме стосується соцмереж, банківських та інших важливих застосунків.
• Після купівлі комп’ютера чи смартфона користуватися ними лише після оновлення програмного забезпечення.
• Не скачувати піратський контент і контент із торентів.
• Скаржитися на акаунти чи сайти, які нелегально поширюють персональні дані громадян, а також долучатися до їхнього блокування.
• Не перевіряти, чи почали «гуляти» в мережі ваші персональні дані, на сумнівних ресурсах. Найчастіше вони збирають персональні дані саме тих, хто ними користується. І в жодному разі не вводити на них логін і пароль від електронної пошти й інших акаунтів. Втім, є кілька винятків: це авторитетні сервіси, визнані в розвинених країнах, які мають відомих засновників із хорошою діловою репутацією. Серед таких прикладів згадують сервіси перевірки своєї пошти на Google та Firefox, а також сервіс Haveibeenpwned, який заснував австралійський експерт із питань кібербезпеки Трой Гант. Там можна перевірити, чи відбувся витік даних із тієї чи іншої електронної пошти, але на цьому сервісі немає потреби вдаватися до ризикованих дій, як-от вводити логін і пароль від емейлу.
• Якщо є змога, не надавати свого основного телефонного номера, адреси проживання й основної електронної пошти під час заповнення анкет, реєстрації на різних сервісах тощо.

У ситуації, коли витоки відбуваються саме з державних реєстрів, захиститися від цього індивідуально вкрай важко, визнає Вадим Гудима.

«Однозначного способу вберегтися немає, якщо йдеться про державні бази даних, яким українці самі надають персональну інформацію, і часто просто вимушені її надавати. Якщо ж ми говоримо про соцмережі чи пошту, то тут захистити може двофакторна автентифікація. До того ж там можна не вводити точної дати народження й інших персональних даних, якщо цього можна уникнути. Але, зрештою, це та проблема, яку неможливо вирішити індивідуальним діями громадян», – визнає Гудима.

Витоки персональних даних є одним із інструментів російської гібридної агресії, а також джерелом інформації для криміналітету, говорить про найбільші небезпеки поширення таких даних співзасновник проєкту «Українські кібервійська» Євген Докукін. За його словами, найбільшу небезпеку несе поширення не даних із водійських прав чи логінів і паролів електронної пошти, а прив’язка імені до телефона й адреси проживання.

«Фактично українцям неможливо захиститися від витоків, бо вони зареєстровані в МВС, в «Укртелекомі», в Пенсійному фонді й інших державних структурах. Ці бази даних продаються. Саме ці дані (імена і телефони з адресами) публікують росіяни, і це служить «наводками» для криміналу або ж місцевих проросійських сил. Потрібно блокувати такі сайти й акаунти, але іноді в мене складається враження, що ні державу, ні громадян це не цікавить і що це потрібно тільки мені», – визнає активіст.

І він, і інші експерти вважають, що питання кібербезпеки має бути одним із наріжних каменів безпекової політики держави.

Між тим, проблема витоків персональних баз даних не є суто українською. Це глобальний виклик, бо йдеться, зокрема, про особисту інформацію користувачів соцмереж із усього світу.

Так, у квітні 2018 року співзасновник мережі «Фейсбук» Марк Цукерберг вибачився за те, що персональні дані користувачів соцмережі стали доступними третій стороні. Зокрема, 4 квітня 2018 року стало відомо, що компанія Cambridge Analytica, яка спеціалізується на аналізі даних, несанкціоновано отримала особисті дані 87 мільйонів користувачів соцмережі «Фейсбук» в усьому світі.