З держреєстрів і банків постійно «зливають» дані українців. Заборона розповідає, хто в цьому винен, і як можна захиститися від шахраїв
У телеграмі працює бот, який продає персональні дані українців. Його база даних містить номери паспортів, водійські посвідчення, адреси реєстрації, інформацію про судимість, паролі до соціальних мереж «ВКонтакте» та LinkedIn. Служба безпеки України і Кіберполіція розслідують, звідки відбувся витік даних. Автор Заборони Самуїл Проскуряков попросив фахівців з інформаційних технологій розповісти, хто винен, як вберегтися і чому держава не здатна захистити чутливу інформацію громадян.
Що сталося?
11 травня багато хто звернув увагу, що телеграм-бот UA Baza Bot продає персональні дані українців. Перші новини про нього з’явилися ще у квітні, але зараз його база поповнилась, зокрема водійськими посвідченнями. Люди, які шукали інформацію про себе, натрапляли переважно на старі й навіть загублені документи. Але були й ті, хто побачили свої свіжі водійські права. Користувачі припустили, що витік відбувся через державний мобільний застосунок «Дія».
Міністр цифрової трансформації Михайло Федоров наголошує, що «Дія» «навіть теоретично» не може бути причетною до витоків персональних даних. Національна поліція також стверджує, що витік відбувся не через «Дію». Наразі телеграм-канал припинив роботу через скарги, але створив кілька клонів, на які закликає переходити всіх охочих.
Чи можна перевірити наявність власних даних у базі?
Не варто. Кожен, хто реєструється для пошуку своїх персональних даних на цьому чи схожих ресурсах, водночас ділиться з ними інформацією про себе. У випадку з телеграм-ботом шахраї можуть небезпідставно припустити, що номер телефону або ж акаунт, з якого робився запит, належить людині, яка шукала власні дані.
Якщо ви не маєте сили втриматися, є сертифіковані в продукти відомих засновників із хорошою репутацією. Як от сервіси перевірки своєї пошти на Google та Firefox, а також сервіс Haveibeenpwned. З їхньою допомогою можна проконтролювати, чи не відбувся витік даних із тієї чи іншої електронної скриньки.
Чи дійсно витік даних пов’язаний із сервісом «Дія»?
Складно сказати. У телеграм-боті є інформація, яку «Дія» не використовує й до якої ніколи не мала доступу. Наприклад, паролі до соціальних мереж «ВКонтакте» і LinkedIn. Люди знаходять особисту інформацію «злиту» з «Нової пошти» та, наприклад, ПриватБанку ще до його націоналізації. Український публіцист і блогер Олександр Володарський розповів Забороні, що побачив свою кримінальну справу щодо художньої акції під стінами Верховної Ради у 2009 році. Поки немає жодних підстав стверджувати, що до витоку причетна «Дія». Втім, в «Дїї» також є вразливі сторони – детальніше про це можна прочитати в нашому матеріалі.
Тоді звідки витекли дані?
Найімовірніше, база телеграм-каналу – це компіляція оцифрованих державних та банківських реєстрів, витоки з яких відбувалися й раніше, але були доступні лише в тіньовому сегменті інтернету («даркнеті»). Телеграм-канал пропонує інформацію з різних реєстрів, різних періодів, зібрану, ймовірно, різними способами, зокрема й незаконними.
Може, винні хакери?
Навряд чи, хоча це поширена думка, що «зливи» баз даних – справа рук хакерів. Інколи дійсно винні вони — наприклад, у минулому році один з таких хакерів продавав електронні пошти та паролі користувачів. Загалом, у нього була база з 773 мільйонами адрес електронних скриньок та 21 мільйоном унікальних паролів. СБУ виявила, що це мешканець Івано-Франківської області. Але зазвичай причина в іншому. Низовий персонал банків або дрібні чиновники отримують невеликі зарплати, тому люди готові йти на злочини за винагороду. Наприклад, минулого року в Хмельницькому правоохоронці затримали колишнього співробітника Держприкордонслужби, який продавав конфіденційну інформацію з державних баз даних, а у 2017 році податківця із Сум затримали за торгівлю базою даних ДФС.
За попередньою інформацією Державного бюро розслідувань, до витоку персональних даних, якими тепер торгує телеграм-бот, можуть бути причетні посадові особи Головного сервісного центру МВС та Державної міграційної служби.
Як таке могло статися?
В Україні назагал погано з кібербезпекою. Закон «Про захист персональних даних» ухвалили лише у 2010 році. Відтоді його майже не змінювали. У законі немає важливого для країн Євросоюзу розділу персональних даних на звичайні і вразливі. До звичайних належать ПІБ, дата й місце народження, громадянство, місце проживання. Їх можна збирати, обробляти, використовувати та передавати без спеціального дозволу. Вразливі персональні дані, тобто інформація про стан здоров’я, етнічна належність, ставлення до релігії, ідентифікаційні коди чи номери, відбитки пальців тощо вимагають особливих заходів захисту та безпеки, спеціально встановлених законом.
Чи можна «злиту» інформацію видалити?
Ні. Усе, що потрапило в інтернет, а особливо в даркнет, там і залишиться. Можна зупинити діяльність телеграм-каналів, проте зловмисники знайдуть нові способи продавати дані. Інформацію можна видаляти з одних і заливати в інші сервіси, продавати, але остаточно знищити неможливо.
Як цю інформацію можуть використати проти мене?
Варіантів більше, ніж ви можете собі уявити. Серед персональних даних, які пропонує телеграм-бот, є логіни та паролі від соціальних мереж та електронної пошти. Якщо зловмисники отримають доступ до ваших сторінок, вони можуть скористатися цим для шантажу або шахрайства. Персональні дані громадян також можна використовувати задля підлаштування заборгованості, нарахування штрафних санкцій та легалізації коштів через сумнівні кредитні компанії.
Як захистити свої персональні дані?
У ситуації, коли витоки відбуваються саме з державних реєстрів, захиститися вкрай важко. Такі проблеми має вирішувати держава, а громадяни можуть дотримуватися заходів безпеки, щоби зменшити ризики. Для цього потрібно:
Ø Встановлювати складні паролі, не коротші за 12 символів із використанням великих і маленьких літер, цифр та інших знаків. Регулярно їх змінювати.
Ø Не використовувати однакові або схожі паролі для різних платформ та сервісів, не зберігати їх у браузері або на робочому столі.
Ø Застосовувати двофакторну аутентифікацію. «Другий фактор» може приходити і як SMS-повідомлення, і як код підтвердження, який генерується на смартфоні в додатку, наприклад, Google authenticator. Це суттєво підвищить захищеність облікових записів.
Ø Не надсилати чутливу або фінансову інформацію, користуючись публічним Wi-Fi. У таких місцях краще користуватися ліцензованим VPN.
Ø Не завантажувати файли із ненадійних ресурсів, не переходити за посиланнями в підозрілих листах.
Ø Не встановлювати сумнівних і ненадійних застосунків або розширень.
Ø Використовувати для листування лише шифровані месенджери. Наприклад, «WhatsApp», «Facebook Messenger» тощо.
Ø Не вказувати, якщо це можливо, свого основного телефонного номера, адреси проживання й основної електронної пошти під час заповнення анкет, реєстрації на різних сервісах тощо.
У підготовці матеріалу допомагали: Шон Таунсенд, хактивіст Українського Кіберальянсу; Сергій Мільман, спеціаліст із відкритих даних та засновник ІТ-компанії YouControl; Віта Володовська, юристка «Лабораторії цифрової безпеки»; Лілія Олексюк, очільниця Всеукраїнської асоціації «Інформаційна безпека та інформаційні технології»; Антон Кушнір, експерт «Лабораторії цифрової безпеки»; Володимир Фльонц, голова громадської організації «Електронна демократія».
