Скандал із доступом до персональних даних та документів мільйонів українців набирає обертів. Що це означає та що робити, якщо ваші дані потрапили у мережу – читайте у матеріалі.
Користувачі соцмереж припускають, що сотні гігабайтів даних потрапили у нелегальні бази з програми Дія, однак це, скоріш за все, не так. Чому – розбирався 24 канал.
Тому що в Telegram з’явився бот UA Baza. Там можна знайти персональні дані та документи українців. Зокрема, у відкритий доступ потрапили 26 мільйона посвідчень водія. Ввечері 12 травня бот видалили через значну кількість скарг. Однак вже 13 травня створили іншого бота UA Baza Bot, але “поки не афішують, щоб виключити можливість бану”.
До публічного скандалу бот успішно проіснував півроку. 12 травня публічно про витік даних розповів Head Chef громадської організації Електронна демократія Володимир Фльонц.
Мені показали не лише паспортні дані, мої старі паролі (які досі актуальні), дані з біометричних паспортів і вишенька на торті – водійське посвідчення, про яке я навіть не здогадувався. Навіть в Дії його не показує, а у хлопців в базі – є. Ось так вже зараз виглядає їх цифрове майбутнє,
– повідомив він.
Всього, якщо вірити творцям бота, у них є 900 гігабайт баз даних. Серед них – 110 млн номерів телефонів, 148 млн контактів, 4,5 млрд електронних пошт, 3,4 млрд паролів, 51 млн ідентифікаційних кодів і 4,3 млн номерів автомобілів.
Крім того, творці боту мають базу контактів одного з інформаційних агентств, яка містила інформацію про 880 тисяч компаній з контактами їх керівників. Також бот пропонує менеджерам з підпору персоналу резюме з IT-ресурсу habr.com. З державних реєстрів в боті були дані з бази виборців 2014 року і деякі дані з Єдиного державного демографічного реєстру(ЄДДР). Також в базі бота була інформація з відкритих реєстрів, доступних публічно.
Із початком скандалу в Інтернеті почали ширитись припущення, що до витоку даних причетний сервіс Дія, який розробило Міністерство цифрової трансформації. Однак у міністерстві будь-яку причетність сервісу до витоку даних заперечують. Там пояснюють, що Дія не має власної бази даних, а лише відображає інформацію з реєстрів.
Співзасновник волонтерського об’єднання “Український кіберальянс” Андрій Баранович (Sean Townsend) у коментарі 24 каналу також підтвердив, що сервіс може бути ні до чого.
“Витік стався не обов’язково з Дії, хоча це не виключено. У серверної частини Дії є прямий доступ до реєстрів. Але з тим же успіхом могли протекти реєстри. Поки даних про те, звідки стався витік недостатньо”, – сказав він.
Ці дані можуть використати шахраї. Як саме та з якою метою – залежить виключно від їхньої фантазії.
Через людей.
Найчастіше, причина – звичайний підкуп. Співробітник, який має доступ до бази даних по роботі, просто копіює її та продає. Вже потім куплені або публічні бази об’єднуються в одну. Іноді витік може бути через дірку в інформаційних системах або в результаті злому, але це трапляється рідше,
– пояснив Баранович.
Юрист, фахівчиня з впровадження в інноваційні продукти захисту особистої інформації і даних користувачів Галина Василевська також зазначила, що 90% витоків, які відбуваються – це не технічні збої, а неправильне і часто безвідповідальне використання систем. “Часто витоки відбуваються через відсутність культури роботи з даними, відсутність двофакторної автентифікації, відсутність необхідних контролів, які б запобігли таким історіям”, – сказала вона.
Судячи з усього, у Держбюро розслідувань також вважають, що ідеться про людський фактор. У ДБР припускають, що до витоку персональних даних можуть бути причетні посадові особи Головного сервісного центру МВС України та Державної міграційної служби.
Разом із тим, за словами Василевської, є висока ймовірність того, що це справа нічим не закінчиться. Крім усього іншого, за її словами, у цій справі необхідно довести склад злочину. Частиною складу злочину є умисел або злочинна недбалість, довести наявність яких у цій історії може бути проблематично.
З іншого боку, ця історія нагадає, що потрібно приділити увагу питанням приватності при імплементації будь-яких державних інновацій. Допоки в Україні не буде нормального фреймворку і нормальних режимів контролю за подібними ситуаціями, а буде лише дещо застарілий закон про персональні дані, ймовірність того, що такі історії будуть відбуватися, збільшується,
– додала вона.
Головне – прийняти той факт, що ваші дані можуть потрапити у мережу і змиритись із цим.
“Потрібно пам’ятати, що витоки даних – це нормально, вони відбуваються скрізь. Ваше завдання подбати про те, щоб ускладнити доступ до вашої інформації. Ставити додаткові паролі, додаткову автентифікацію”, – сказала Василевська.
Захиститися самостійно досить складно. Я б просто по можливості, не залишав свої дані кому попало, і рідше користувався будь-якими державними сервісами. І звичайно потрібно дотримуватися простих правил безпеки – не клікати скрізь, не користуватись сумнівними додатками, використовувати складні паролі і періодично їх міняти,
– додав Баранович.
Василевська також додала, що якщо дані вашого паспорту чи водійських прав потрапили у мережу – це не так критично. Без фізичної копії паспорту, вкрай складно зробити із ним якісь маніпуляції. За її словами, набагато більш чутливими є дані про дату народження і електронну пошту.
“У більшості сервісів, якими ви користуєтеся, ви не вводите серію і номер паспорта. А дата народження – це дуже частий фактор автентифікації. Доступ до банку – це ваш номер телефону та електронна пошта. Це – набагато більш вразливі дані, ніж інформація про паспорт”, – пояснила Василевська.
Наразі всі "прошки" від iPhone 14 до iPhone 16 Pro мають фіксовану діафрагму з апертурою…
Багато людей не вимикають Wi-Fi на смартфоні на ніч, і, чесно кажучи, це не найкраща…
Четвертий рік поспіль виручка від продажів AirPods від Apple перевищує 18 млрд доларів щорічно. Що…
Якщо вам набрид постійний потік повідомлень на Android, то, здається, Google працює над тим, щоб…
Apple планує випустити iPad 11 базового сегмента навесні, а на пристроях, які поставлятимуться, буде попередньо…
Новообраний президент США Дональд Трамп висловив намір дозволити TikTok продовжити свою діяльність у країні. За…