Из госреестров и банков постоянно «сливают» данные украинцев. Заборона рассказывает, кто в этом виноват, и как можно защититься от мошенников
В Телеграме работает бот, который продает персональные данные украинцев. В его базе данных находятся номера паспортов, водительские удостоверения, адреса регистрации, информации о судимости, пароли от социальных сетей «ВКонтакте» и LinkedIn. Служба безопасности Украины и Киберполиция ищут источник утечки данных. Автор Забороны Самуил Проскуряков попросил специалистов по информационным технологиям рассказать, кто виноват, как уберечься и почему государство не способно защитить чувствительную информацию граждан.
Что произошло?
11 мая многие обратили внимание, что телеграм-бот UA Baza Bot продает персональные данные украинцев. Первые сообщения о нем появились еще в начале апреля, но сейчас его база пополнилась, в частности, водительскими удостоверениями. Люди, которые искали информацию о себе, находили, как правило, старые и даже утерянные документы. Некоторые наткнулись на свои свежие водительские права. Пользователи предположили, что утечка произошла в государственном мобильном приложении «Дия».
Министр цифровой трансформации Михаил Федоров делает акцент на том, что «Дия» «даже теоретически» не может быть причастна к утечке персональных данных. Национальная полиция также утверждает, что утечка произошла не из «Дии». Сейчас телеграм-канал прекратил работу из-за жалоб, но создал несколько клонов, на которые приглашает переходить всех желающих.
Можно ли проверить наличие собственных данных в базе?
Не стоит. Каждый, кто регистрируется для поиска своих персональных данных на этом или похожих ресурсах, делится с ними информацией о себе. В случае с телеграм-ботом мошенники могут небезосновательно предположить, что номер телефона или аккаунт, с которого делался запрос, принадлежит человеку, который искал собственные данные.
Если вы не в силах удержаться, существуют сертифицированные продукты известных компаний с хорошей репутацией. Среди них сервисы проверки почты на Google и Firefox, а также сервис Haveibeenpwned. С их помощью можно проконтролировать, была ли утечка из определенной почты.
Правда ли то, что «слив» данных связан с сервисом «Дия»?
Сложно сказать. В телеграм-боте есть информация, которую «Дия» не использует и к которой никогда не имела доступа. Например, пароли от «ВКонтакте» и LinkedIn. Пользователи находят персональную информацию из «Новой почты» и Приватбанка до его национализации. Украинский публицист и блогер Александр Володарский рассказал Забороне, что увидел там свое уголовное дело о художественной акции, проведенной под стенами Верховной Рады в 2009 году. Пока нет никаких оснований утверждать, что к утечке причастна «Дия». Впрочем, у «Дии» так же есть уязвимости – подробнее об этом можно прочитать в нашем материале.
Тогда откуда утекли данные?
Вероятнее всего, база телеграм-канала – это компиляция оцифрованных государственных и банковских реестров, утечки из которых случались и раньше, но были доступны только в теневом сегменте Интернета («даркнете»). Телеграм-канал предлагает информацию из разных реестров, за разных периоды, собранную, вероятно, разными способами, в частности – незаконными.
Может, виноваты хакеры?
Вряд ли, хотя многие уверены, что «сливы» баз данных – дело рук хакеров. Иногда действительно виноваты они – например, в прошлом году хакер продавал электронные ящики и пароли пользователей. В целом, в его базе насчитывалось 773 миллиона адресов электронных ящиков и 21 миллион уникальных паролей. СБУ определила, что это житель Ивано-Франковска. Но обычно причина в другом. Низовой персонал банков и мелкие чиновники получают небольшие зарплаты, поэтому люди готовы идти на преступления за вознаграждение. Например, в прошлом году в Хмельницком задержали бывшего сотрудника Госпогранслужбы, который продавал конфиденциальную информацию из государственных баз данных, а в 2017 году налоговика из Сум задержали за торговлю персональными данными ГФС.
По предварительным данным Государственного бюро расследований, к утечке персональных данных, которые теперь продает телеграмм-бот, могут быть причастны должностные лица Главного сервисного центра МВД и Государственной миграционной службы.
Как это могло произойти?
В Украине в целом плохо с кибербезопасностью. Закон «О защите персональных данных» приняли только в 2010 году. С тех пор его практически не меняли. В законе отсутствует важное для стран Евросоюза разделение персональных данных на обычные и уязвимые. К обычным относят ФИО, дату и место рождения, гражданство, место жительства. Их можно собирать, обрабатывать, использовать и передавать без специального разрешения. Уязвимые персональные данные, то есть информация о состоянии здоровья, этнической принадлежности, отношении к религии, идентификационные коды или номера, отпечатки пальцев и другие, требуют особых мер защиты и безопасности, специально установленных законом.
Можно ли удалить «слитую» информацию?
Нет. Все, что попало в Интернет, а особенно в даркнет, там и останется. Можно остановить работу телеграм-каналов, но мошенники найдут новые способы продавать данные. Информацию можно удалить из одних и заливать на другие сервисы, продавать, но нельзя уничтожить окончательно.
Как эту информацию могут использовать против меня?
Вариантов больше, чем вы можете себе представить. Среди персональных данных, которые предлагает телеграм-бот, есть логины и пароли от социальных сетей и электронных ящиков. Если злоумышленники получат доступ к вашим страницам, они могут использовать это в целях шантажа или мошенничества. Персональные данные граждан также можно использовать, чтобы создать задолженность, рассчитать штрафные санкции и легализовать средства через сомнительные кредитные компании.
Как защитить свои персональные данные?
В ситуации, когда утечки происходят именно из государственных реестров, защититься крайне сложно. Подобные проблемы должно решать государство, а граждане могут соблюдать меры предосторожности. Для этого необходимо:
Ø Устанавливать сложные пароли, не короче 12 символов с использованием прописных и строчных букв, цифр и других знаков. Регулярно их менять.
Ø Не использовать одинаковые или похожие пароли для разных платформ и сервисов, не сохранять их в браузере или на рабочем столе.
Ø Использовать двухфакторную аутентификацию. «Второй фактор» может приходить как и SMS-сообщением, так и кодом подтверждения, который генерируется на смартфоне в приложении, например, Google authenticator. Это существенно повысит защищенность учетных записей.
Ø Не отправлять чувствительную или финансовую информацию через публичный Wi-Fi. В публичных местах следует использовать лицензированный VPN.
Ø Не загружать файлы из ненадежных источников, не нажимать на ссылки в подозрительных письмах.
Ø Не устанавливать сомнительные и ненадежные приложения или расширения.
Ø Использовать для переписки только шифрованные мессенджеры. Например, «WhatsApp», «Facebook Messenger» и т.д.
Ø По возможности не указывать свой основной номер телефона, адрес проживания и основную электронную почту во время заполнения анкет, регистрации на разных сервисах и т.д.
Подготовить материал помогали: Шон Таунсэнд, активист Украинского Киберальянса; Сергей Мильман, специалист по открытым данным и основатель ІТ-компании YouControl; Вита Володовская, юристка «Лаборатории цифровой безопасности»; Лилия Олексюк, глава Всеукраинской ассоциации «Информационная безопасность и информационные технологии»; Антон Кушнир, эксперт «Лаборатории цифровой безопасности»; Владимир Фльонц, глава общественной организации «Электронная демократия».
