"Дія" ні до чого. Як українці втрачають контроль над персональними даними

Чи можемо ми уявити, скільки державних реєстрів та приватних компаній володіють інформацією про нас? Салон краси або спортивний клуб просить вказати місце проживання, дату народження, мережа продуктових магазинів хоче дізнатися наше місце розташування, державна поліклініка або приватний медичний центр - отримати інформацію про захворювання та працевлаштування. А "Нова пошта", найбільший оператор доставки, а донедавна ще й монополіст цього ринку, ще й знає паспортні дані і всю історію онлайн-покупок. Очевидно, що тією чи іншою мірою ця інформація є критично важливою для їх діяльності - наприклад, для того, щоб продавати більше товарів і послуг, які нібито нам потрібні, радити вигідні знижки та персональні пропозиції.

Складно навіть уявити, яка кількість даних про конкретну особу доступна у великих і малих базах даних, захищених і вільно доступних хмарах, на комп'ютерах і флеш-носіях різних компаній і структур. Об'єднати і зіставити ці дані можна за кількома параметрами. По-перше, за номером телефону, який багато людей намагаються не змінювати роками. І по-друге, за ідентифікаційним кодом. Звичайно, для початку потрібно мати доступ. А ще володіти інструментами, які дозволяють працювати з базами даних - наприклад, проводити пошук, порівняння, об'єднання записів у них.

Цього тижня активізувався один з Telegram-каналів, що пропонує доступ до персональних даних українців. Він наочно продемонстрував, що українці вже не володіють власними даними, у тому числі персональними. І що доступ до цієї інформації за бажання може отримати практично будь-хто.

Розшукуються всі. Як Telegram-канали продають дані українців

12 травня один з Telegram-ботів, який ще з квітня пропонував пошук персональної інформації громадян України, у своєму спеціальному новинному каналі повідомив, що тепер в базі з'явилися водійські посвідчення, понад 26 млн, і фотографії - понад 5,2 млн знімків.

Безкоштовно Telegram-бот пропонував пошук по п'яти запитах. Як параметр запиту потрібно було вказати номер телефону.

Люди одразу ж кинулися шукати інформацію про себе, хоча робити це категорично не радили фахівці з безпеки. Люди ділилися результатами у себе в Facebook і Twitter, обговорювали результати пошуку, намагаючись зрозуміти, звідки цейTelegram-бот, що настільки багато знає, отримав стільки детальної інформації.

Будь-хто, хто проводив пошук по цих ботах, міг бачити, що автори Telegram-бота у видачі вказували щось схоже на назви використовуваних ними баз даних.

Серед використаних баз даних у видачі були присутні наступні: "Фінанси 12/2019", "Нова пошта 07/2018", "UA 2007", "МС", "Архів 2012", "Вибори 2014", "Водійське посвідчення".

Можна припустити, що автори цього Telegram-бота отримали бази даних з архіву за 2012 р., бази виборців 2014 р., водійських посвідчень і транспортних засобів, бази клієнтів "Нової пошти" і ще кілька інших.

Близько 15:00 12 травня Telegram-бот перестав працювати і був видалений. Очевидно, це сталося в результаті хвилі обурення і публікацій в ЗМІ.

Telegram-божевілля нахабних

Уперше скандальний Telegram-бот разом ще з кількома аналогічними інструментами з'явився 23 квітня. Інші Telegram-боти дозволяли проводити пошук по номеру телефону і отримувати повні дані знайдених людей, включаючи податковий номер, номер паспорта та номери телефонів, а ще - пов'язаних з ними осіб. Тестування показало, що це порівняно старі дані, багато з яких були вже неактуальні, приміром, відбивалася стара інформація за місцем проживання. Тоді користувачі мережі пов'язали цей бот з базою даних клієнтів Приватбанку.

Деякі з ботів, створених наприкінці квітня, були заблоковані, однак деякі з них працюють і нині, але тільки на платній основі: демо-доступ з певною кількістю безкоштовних запитів вже не пропонується. Знайти такі боти можна звичайним пошуком в Telegram.

До чого тут додаток "Дія" і що зробила поліція

Перша хвиля обговорень Telegram-ботів супроводжувалася звинуваченнями в зливі даних Міністерства цифрової трансформації через додаток "Дія". Причин пов'язувати ці інструменти і "Дію" може бути кілька. Одна з них - незадовго до появи Telegram-ботів Мінцифри анонсувало появу водійських прав у "Дії". Та й загалом "Дія" створювалася як інструмент, який дозволяв зберігати на смартфоні в мобільному додатку цифрові копії документів.

Досить оперативно міністр Михайло Федоров спростував приналежність "Дії" до витоків, пояснивши, що додаток не зберігає даних ні на смартфоні користувача, ні на власних серверах, а тільки отримує доступ до даних державних реєстрів. Аналіз змісту бази, на основі якої працювали Telegram-боти, показує, що дійсно, найімовірніше, додаток "Дія" тут ні до чого, а Telegram-бот працює на основі об'єднаних скомпільованих баз даних, які стали доступними в різний час і з різних джерел. Це ж підтверджує аналіз, який провели деякі фахівці з безпеки: Telegram-бот оперує іноді навіть більш новими даними - деяких документів у "Дії" ще не було, а через бот вони були доступні.

Однак через те, що код "Дії" не є відкритим і додаток не проходив незалежного аудиту безпеки, не можна однозначно бути впевненим у непричетності "Дії" до витоків. Уже 13 травня з'явилася заява Нацполіції про відсутність фактів кібератак на "Дію".

Під час пошуку винних дісталося і розробникам проєкту Opendata - інструменту, який повідомляє про зміни у відкритому реєстрі, проте в компанії всі звинувачення спростовують.

Національна поліція відкрила кримінальну справу за фактом витоку персональних даних.

А наступного дня після закриття бота з'явилися попередні відомості про те, що до витоку можуть бути причетні фахівці Головного сервісного центру МВС і державної міграційної служби.

"Діряві" бази: витоки даних в Україні і світі

Витоки даних стали ознакою нашого часу. Мало який онлайн-сервіс або велика компанія може похвалитися тим, що дані їхніх клієнтів жодного разу не ставали доступними іншим людям. Лідером за кількістю втрачених записів даних є компанія Yahoo, яка в 2013 р. "втратила" дані 3 млрд або всіх своїх користувачів поштової служби Yahoo - їх дані стали доступні хакерам. Серед таких жертв витоків - сервіс Facebook, мережа готелів Marriott, онлайн-проєкти Zygna, eBay, LinkedIn, сервіс кредитних історій Equifax.

У всіх цих випадках важливо знати, які дані були втрачені, яким чином зловмисники отримали доступ до них і якими були наслідки витоків.

Часто інформація про спосіб злому і дані, які були втрачені, не оприлюднюється. Компанії воліють повідомляти клієнтам про "гостру потребу змінити пароль", але іноді і просто замовчують факт втрати даних. Одна справа, коли йдеться про електронні адреси та імена користувачів і результатом витоку може стати лише кількість спаму, що збільшилася, у своїх поштових скриньках. Зовсім інша - коли у втрачену базу потрапляють паролі або номери кредитних карт. Тоді жертви можуть зіткнутися з втратою акаунтів або крадіжкою грошей.

Не менш важливі й наслідки таких історій для компаній — джерел даних. Наприклад, витік інформації 3 млрд клієнтів компанії Yahoo дозволив зменшити її вартість при поглинанні з боку Verizon Communications з $4,8 млрд до $4,48 млрд. Втрата даних коштувала акціонерам компанії близько $300 млн. Бюро кредитних історій Equifax висловило готовність заплатити компенсацію у розмірі $700 млн за злом і витік даних 147 млн клієнтів, а пізніше Федеральний суд США встановив для компанії штраф у розмірі $1,38 млрд для постраждалих. Що стосується Marriott, який "втратив" дані 143 млн своїх клієнтів, у тому числі номерів їхніх кредиток, то компанія повідомила лише про фінансові втрати в розмірі $28 млн, з яких $25 млн становили страхові виплати.

Напевно, найгучнішим випадком витоку даних в Україні стала історія "Нової пошти" - у лютому 2018 р. стало відомо, що в Dark Web нібито продають базу клієнтів компанії, в якій налічувалося 18,5 млн записів. Кілька місяців по тому "Нова пошта" офіційно заявила, що ніякого витоку даних не було, це підтвердив аудит.

Хто винен і що робити

У звіті 2019 Thales Data Threat Report аналітичного агентства International Data Corporation (IDC) сказано, що 65% компаній так чи інакше зачіпали витоки даних. При цьому 24% витоків пов'язані з людськими помилками.

У 2010 р. в Україні почав діяти закон про захист персональних даних. Первинна мета цього закону - хоч якось регламентувати роботу з даними українців, зрозуміти, кому вони належать і, що не менш важливо, встановити відповідальність за їх втрату.

В історії України були випадки притягнення до відповідальності за продаж даних. Наприклад, у 2017 р. у торгівлі базою даних Державної фіскальної служби звинуватили жителя Сум, через два роки за таку ж діяльність засудили жителя Харкова, а у 2018 р. у Запоріжжі спіймали продавців даних митної служби. Можна припустити, що це лише поодинокі випадки, які були зафіксовані правоохоронцями і доведені до логічного завершення. Принаймні наявність Telegram-ботів, що так вільно розпоряджаються нашими даними, так само як і величезна кількість пропозицій щодо купівлі даних в "Темній мережі" і на хакерських форумах підтверджують підозри про те, що закон про дані - це всього лише формальність.

Історія з витоком даних клієнтів кредитного бюро Equifax призвела до колективного позову потерпілих і компенсації, що перевищила $1 млрд, яку компанія повинна заплатити жертвам. У країні, що живе за принципом верховенства права, результатом появи настільки одіозних Telegram-ботів може стати колективний судовий позов до власників загублених баз даних. На жаль, в Україні такий розвиток подій малоймовірний.

Витік через Telegram-боти - це історія про безвідповідальність і незахищеність. Відсутність персональної відповідальності посадових осіб, винних у тому, що ці дані стали доступні публічно, - це найголовніша проблема, без вирішення якої подібні Telegram-боти ще не раз будуть з'являтися в мережі.

Ще одна сторона цієї історії полягає у спробі звинуватити розробників "Дії" і Мінцифри у витоку, хоча причин для таких тверджень немає. Звинувачення базуються на відсутності довіри до держави. Тут мимоволі згадуються слова міністра Федорова про перебільшену роль кібербезпеки, яку професійне співтовариство і рядові користувачі ніяк не можуть йому пробачити. Держава вустами Мінцифри не раз говорила про бажання об'єднати різні реєстри в один. У цьому разі ризик витоку даних зросте у сотні разів. У певному сенсі автори Telegram-ботів це вже зробили, маючи десь старі і не дуже актуальні дані. Якщо ж об'єднання відбудеться і вже нові актуальні дані стануть надбанням громадськості, а також стане можливим проведення в онлайні через мобільний додаток юридично важливих операцій або участь у виборах, то рівень збитку буде невимірно більший.