Масштабная утечка данных украинцев могла произойти через приложение «Дия», – киберэксперты

Масштабная утечка данных украинцев могла произойти через приложение «Дия», – киберэксперты

Утечка персональных данных миллионов украинцев, которые были распространены в одном из анонимных Telegram-каналов, все же могла произойти через приложение "Дия".

Об этом в комментарии #Буквам сообщил активист “Украинского киберальянса”, специалист по кибербезопасности Андрей Перевезий.

Так, на днях разгорелся скандал вокруг продажи персональной информации миллионов украинцев через один из Telegram-каналов (Telegram-бот UA Baza).

Судя по сообщениям, у владельцев канала оказался доступ к базе кредитных историй за 2012-2016 годы, более 100 млн телефонных номеров, данные относительно юридических лиц, базы недействительных и утерянных паспортов, идентификационных номеров физических лиц, аккаунты и пароли к страницам в соцсетях и тому подобное.

Представители власти опровергли подозрения, что к этому может быть причастно приложение “Дия”, которое должно объединить различные базы данных и разрешить пользоваться чуть ли не всеми возможными документами с помощью смартфона.

Но эксперты из “Украинского киберальянса” допускают, что утечка данных все же могла произойти через “Дию”.

“В любом случае возможно проанализировать – а откуда же была утечка. Для этого надо проанализировать массивы данных, выяснить приблизительную дату утечки. В данном случае большинство баз данных прописали сами владельцы Telegram-канала – это база данных Выборы 2014 года, Новая почта 2017 года, База данных “ВКонтакте” 2018 года, открытые данные от Open Data Bot. Но главное – это свежая база данных документов, выданных в декабре 2019-го, январе-феврале 2020-го. Вероятнее всего, это могла быть “Дия”, – подчеркнул Андрей Перевезий.

Эксперт также отметил, что заявления администрации приложения о том, что оно не имеет собственной базы данных, а потому не причастно к утечке, не выдерживают критики. Так, сама “Дия” дает доступ к различным базам данных (является своеобразным “ключом” к ним).

Перевезий предполагает, что утечка могла произойти из-за существующих уязвимостей в приложении.

“Если объяснять на пальцах, то все выглядит следующим образом. “Дия” не имеет своей базы данных, это правда. Но она является ключом к различным базам данных. Предположим, у вас есть десяток дверей. И вы делаете универсальный ключ, которым можно открыть все эти двери. Вот это и есть приложение “Дия”. Если исключить ее, то получается, что произошел взлом базы данных Нацполиции? Учитывая, что в Telegram-канале присутствовали данные новых ID-карт и новых водительских удостоверений. Но есть большая вероятность, что утечка произошла из-за существующих уязвимостей приложения. Собственно, то, что они показали исследования отдельных людей. И поверьте, уязвимость там не одна”, – объяснил Перевезий.

Представители “Киберальянса” в комментарии #Буквам подчеркнули, что возможность утечки через “Дию” нельзя исключать, так как это приложение вызывает ряд вопросов не только в силу своих технических особенностей, но и организационных.

По словам киберэкспертов, данные нужно разделять для их лучшей защиты, а “Дия” предусматривает объединение реестров и обмен информацией между ними.

“Сам подход на объединение реестров и автоматический обмен данными между ними грозит большими проблемами. Для того, чтобы защищать данные, их нужно разделять и у каждого набора данных должно быть “имя”. Это делается для того, чтобы в случае утечки кто-то за это отвечал. Инициатива Министерства цифровой трансформации в данном случае снижает риск такой ответственности. Более того, проблема в самом приложении. Где проектная документация? Кто отвечает за безопасность и функционал? Что будет, если произойдет утечка? Где сертификаты по безопасности как самого приложения, так и алгоритма его работы?” – рассказали представители “Киберальянса”.

Источник: bykvu.com