2022-01-24 20:00:08
Масштабная утечка персональных данных граждан Украины
В ночь на 14 января на государственные сайты Украины была совершена хакерская атака. Много сайтов просто не работали, на части хакеры оставили дефейс с антиукраинской пропагандой.
21 января на сайте с объявлениями о продаже слитых баз появилось объявление в котором предлагали к покупке большую базу правительственного портала госуслуг "Дія". В качестве доказательств продавец выложил в открытый доступ три архива: дамп базы 100 000 пользователей, 10 гигабайт изображений а так же дамп слабоструктурированных данных в виде JSON записей.
Минцифры Украины, Киберполиция и другие спикеры от власти немедленно заявили о том что эта база является фейком, "Дію" не ломали, то что предлагают купить—это компиляция из старых сливов до 2019 года завёрнутая в фантик, а все кто распостраняют информацию о якобы сливе—это провокаторы и враги государства которые хотят дестабилизировать ситуацию на пороге войны.
Я решил самостоятельно проверить, что же это за такие данные и скачал сэмплы предоставленные продавцом. Первое что меня интересовало—это актуальность данных. В таблице есть: емейл и телефон, дата рождения, ФИО, ИНН, серия и номер паспорта или ИД-карты и другая информация. Среди этой инфы оказалось достаточно много записей с 2020-2021 года.
К большому сожалению, в этой базе я не нашёл себя. Тогда я бы смог заявить что данные настоящие а любой желающий мог бы это проверить, ведь копия базы доступна всем.
Я опубликовал проведённый мной анализ на форуме доу и начали подключаться другие люди.
Один человек обратил внимание на то, что идентификатор userId из слитой базы совпадает с идентификатором который записывается в JWT-токен выдаваемый порталом Дія в момент логина. Он написал инструкцию о том как получить userId из сессии и уже скоро мы имели подтверждение от кучи людей о том, что поиск по их userId в базе выдаёт корректные данные.
Таким образом, можно однозначно утверждать, что слитая база во-первых, как минимум имеет отношение к Дії а во-вторых, была слита недавно, а не является компиляцией.
Анонимный пользователь ДОУ разработал сервис с инструкциями по проверке скомпрометирован ли ваш userId:
https://haveiindb.xyz/check.html
По userId сайт покажет ФИО и частичные паспортные данные. Вы можете сами убедиться в аутентичности данных. Из-за того, что выборка маленькая (всего лишь около 100 000 записей), то вероятность этого невысокая, но на форуме ДОУ нашлось достаточно людей которые подтвердили корректность.
Для того, чтобы узнать, есть ли ваши данные в семпле и настоящие ли они, вам нужно залогиниться в веб-портал Дія, с помощью консоли разработчика узнать свой userId и вставить его на сайт. userId по идее является деперсонализированной информацией и вряд ли используется где-либо кроме внутренней кухни Дія поэтому его передача (сайту сделанному неизвестным) вряд ли вам навредит.
Тем не менее я предупреждаю о том что не являюсь автором этого сайта и не несу за него ответственность.
Кроме персональных, в дампе есть JSON с другими данными. Я перепроверил и могу утверждать, что формат этих данных очень похож на тот, который отдаёт портал Дія. Среди горы файлов есть информация о заявках на получение матпомощи для ребёнка (Є-Малятко) что так же позволяет сделать вывод о том, что база свежая.
Среди скомпрометированных пользователей есть как те, кто логинился на веб-портал Дія, так и те, кто только ставил приложение.
Мне бы очень хотелось чтобы это действительно была фейковая база, но сюдя по имеющимся доказательствам, к сожалению, это не так. Моё предположение—во время хакерской атаки 14-го января злоумышленники получили доступ к приложению, которое находилось в одном контуре с Дієй, и смогли сдампить базу. При этом заявления киберполиции и минцифры о том, что "Дію не ломали" вероятно де-юре правдивое, но для нас, как граждан это не имеет значения—данные утекли в сеть, и неважно, каким путём.
Тем временем государство выбрало тактику замалчивания и отрицания. Я уже дал свой комментарий порталу ДОУ, ждём независимого расследования.
Лайк, шер, репост.
8.7K viewsedited 17:00
R
