Украинскому программисту И. Сорочану удалось найти в выставленной на продажу базе данных пользователей «Дії» персональные данные родственника. Об этом он сообщил в своем Facebook-аккаунте.
Подробности
Программист утверждает, что паспорт его 14-летний родственник получил шесть месяцев назад. Предпринимательской деятельностью он не занимался. Таким образом, его персональных данных в реестре ФОП быть не может. Родственник установил на смартфон приложение «Дія». Государственным порталом он ни разу не пользовался.
В «пробнике» слитой в глобальную сеть базы Сорочан нашел телефонный номер своего родственника, адрес электронной почты и дату последнего входа в приложение «Дія». Она совпала с датой получения родственником посылки в отделении «Новой почты». Сотрудники отделения попросили его показать паспорт.
Экспертное мнение
К. Корсун, работающий экспертом по кибербезопасности в Secret Cybersecurity Firm, переговорил с отцом пострадавшего от информационной утечки подростка. Он сообщил ему, что сын получил общегражданский паспорт в конце лета минувшего года в ЦОАУ. Впоследствии подросток загрузил на свой смартфон апплет «Дія». На государственном портале он не регистрировался. Между тем в базе данных всплыли телефонный номер, адрес электронной почты и ИНН подростка.
Корсун по этому поводу отметил, что персональные данные могли быть похищены либо из ЦОАУ, либо из «Дії». Эксперт больше склоняется ко второму варианту, поскольку в ходе атаки на портал «Дія» злоумышленники могли добраться до ресурсов, которые используются в качестве источников данных приложением «Дія».
По словам Корсуна, наличие в «пробнике» предлагаемой к приобретению базы данных сведений о 14-летнем украинце, получившем паспорт в 2021 году, ставит под сомнение версию правительства о том, что никакой информационной утечки не было. В базе данных содержатся более чем актуальные сведения об украинских гражданах. Высока вероятность того, что они были получены хакерами из приложения «Дія». Еще одним возможным каналом утечки могла стать система идентификации Bank iD, которую подросток использовал для регистрации в приложении. Если это действительно так, то пользователей приложения государственный сервис «Дія» идентифицирует с помощью банковских баз данных, которые можно приобрести на «черном» рынке.
Напомним, что позиция Минцифры сводится к тому, что информационная утечка была допущена до официального запуска государственного сервиса. В связи с этим в базе содержатся сведения, датированные 2019 годом.