Поділитись:

Як через Telegram продають особисті дані і до чого тут «Дія»

Четвер, 14 травня 2020, 14:50

У Telegram з’явився бот, який продає особисті дані українців.

Спікер Українського кіберальянсу Шон Таунсенд в інтерв'ю Радіо НВ розповів, як стався витік даних і як їх можуть використовувати.

Йдеться про такі дані, як-от номери паспортів, ідентифікаційні коди, прописка, паролі від соцмереж і навіть банківські дані. Дехто вже звинуватив у витоку даних систему Дія, яку нещодавно запустило Міністерство цифрової трансформації.

– Ті дані, які нещодавно витекли, їх кількість і характер дають підстави говорити, що це сталося саме через застосунок Дія, як зараз кажуть у соцмережах?

– Дуже складно визначити, чи був це саме витік з Дії або безпосередньо з реєстрів, в яких ці дані зберігаються, бо ні для кого не секрет  бази течуть постійно, вони продаються, постійно з’являються сервіси, які ці дані об'єднують з різних баз для продажу.

Можливо, це була Дія, тому що Дія влаштована таким чином: це проміжне ПЗ, яке стоїть між користувачем і реєстрами. І, звичайно ж, у Дії є прямий доступ до реєстрів, і той, хто зламає серверну частину Дії, теж отримає прямий доступ. Але визначити, чи була це Дія або це якісь інші бази, нові вони, старі, поки складно.

– А в самій Дії є прогалини, які дозволяють викрадати дані користувачів?

  Річ у тім, що Міністерство цифрової трансформації досі не опублікувало жодного технічного документа, жодного регламенту про те, як повинні працювати всі ці продукти. Все розробляється поспіхом, з використанням незрозумілих компаній, незрозумілих грошей і без описів, без чесної розповіді про те, як все це працює. Інформацію доводиться збирати буквально по шматочках.

І я, і інші фахівці з інформаційної безпеки, нам просто доводиться гадати, наскільки грамотні рішення приймалися у процесі розробки. Міністр Федоров постійно заявляє, що вони використовують найкращі практики, найкращі рішення, але це просто нічим не підтверджені слова.

– У Дії заявили, що нібито цей витік вже давно зібраних даних, які були й раніше «хакнуті» в інших структурах, наприклад, у Приватбанку. Чи справді десь уже могла зберігатися така база даних десятків мільйонів українців?

Бази «течуть» постійно. На спеціалізованих форумах, не обов’язково в даркнеті, продають бази різних відомств (митниці, прикордонників, бази паспортів). І оскільки восени міністр Федоров заявив, що роль кібербезпеки сильно перебільшена і Міністерство цифрової трансформації не робить нічого для захисту даних. Сам їхній підхід до об'єднання всіх державних реєстрів в один портал, в один застосунок, на мою думку, є некоректним.

І коли Мінцифри намагається об'єднати всі реєстри в один, то й ризики зростають багаторазово. Коли реєстри були поділені між міністерствами, то різні відомства практично володіли монополією на доступ до цих даних. І якщо «текла» чергова база, то зрозуміло було, звідки вона «потекла» і хто несе за це відповідальність. Коли системи об'єднуються в одну, то ця відповідальність розмивається до нуля і ризик витоку великий, коли «потече» не щось одне, не тільки водійські посвідчення, не тільки база прописки, а все й одразу.

– Зараз йдеться про дуже масштабний витік, де зібрано особисті, банківські дані, паролі соцмереж. А як це все було зібрано в один пакет?

  На хакерських форумах обмінюються базами сайтів, які витекли, де є імейли, телефони, об'єднують у гігантські бази. Найгучніші витоки — це був якраз LinkedIn, там потекла база повністю, багато паролів вдалося зламати. Я думаю, що ці шахраї, які торгують даними через Telegram-бота, просто зіставили телефонні номери там, де вони є, або імейл-адреси, з паролями, які потекли.

– Як теоретично такі дані можуть бути використані?

  Те, що дані прив’язані до паролів, і можна спробувати зламати облікові записи, це дає великі можливості для шахрайства, зокрема банківського шахрайства. Тут вже залежить від фантазії. Це можливість знайти людину і багато про неї дізнатися. Чим більше нових сервісів з’явиться в Дії, тим більшою буде загроза.

Припустимо, зараз ви втрачаєте мобільний телефон. У гіршому випадку у вас «поцуплять» акаунт у Facebook, може, навіть вдасться вкрасти гроші з вашого банківського рахунку. Але коли в онлайні можна буде здійснювати юридично значимі дії, наприклад, з нерухомістю або брати участь у виборах, то тут вже ризики не вимірюються грошима.

– Хакери пропонують у демоверсії перевірити наявність власних даних у базі. Чи можна це робити?

  Я б не радив цього робити, це в залежності від того, як влаштовані такі сервіси. Шахраї можуть резонно припустити, що номер телефону, з якого робився цей запит, належить людині, яка дивилася власні дані, й одразу підв'яжуть цей номер у ту саму базу. Якщо це сервіс у вигляді сайту, то потечуть IP-адреси, тобто, де людина зараз приблизно перебуває.

– Є якісь поради, як можна убезпечити себе від таких витоків? Наприклад, міняти паролі раз на тиждень, або зараз треба всім взяти і змінити свої паролі?

  Паролі дійсно потрібно періодично міняти, бажано використовувати складні паролі, різні паролі для різних сервісів. Для тих сервісів, які вам важливі, припустимо, онлайн-банкінг, складніші паролі. Не записувати їх, де попало, не використовувати повторно. Якщо є можливість, використовувати двофакторну аутентифікацію через телефон або за допомогою спеціального застосунку, якщо є така можливість.

Такі боти розраховані на роздрібну торгівлю даними, там ціна може починатися від кількох доларів за запис. Якщо орудують якісь більш професійні шахраї, то там ціна може зростати до десятків, іноді навіть до сотень доларів.

ЧИТАЙТЕ ТАКОЖ: 

Надрукувати
мітки:
коментарів
02 червня 2020
01 червня 2020
31 травня 2020
29 травня 2020