У Telegram з'явився бот UA Baza, який видає персональні дані і документи українців, держава наполягає, що вона тут ні до чого.
В Україні черговий масовий злив персональних даних громадян. Щоправда, цього разу, схоже, найбільш масштабний. Судіть самі: у відкритий доступ потрапили 26 мільйонів тільки водійських посвідчень. А ще й паспорти, і паролі від облікових записів у соціальних мережах і пошт.
Претензії відразу ж з'явилися до Міністерства цифрової трансформації і їх додатку Дія, який підтягує електронну версію документів з державних реєстрів. Але в Мінцифрі запевняють, що вони тут ні до чого.
Корреспондент.net розбирався в масштабах зливу.
Як це працює
Бот UA Baza містить дані держреєстрів, а також бази нової пошти і паролі з соцмереж Вконтакте і linkedin.
Наприклад, Head Chef громадської організації Електронна демократія Володимир Фльонц, за допомогою бота знайшов відразу кілька своїх документів.
"Мені показали не тільки паспортні дані, мої старі паролі, дані з біометричних паспортів (зокрема, фото) і вишенька на торті - водійське посвідчення, про яке я навіть не здогадувався. Навіть у Дії його не показує, а у хлопців у базі - є. Ось так вже зараз виглядає їх цифрове майбутнє", - написав Фльонц.
Більш того, наприклад, журналісту Сергію Сидоренку бот показав водійські права, які він втратив ще в 1999 році, і з тих пір не відновлював.
"За моєю поштою підтягуються старі права, з номером, реквізитами, про яких Дії невідомо. Тобто, дані не просто взяті з якоїсь урядової бази, про яку Дія поки не в курсах - але і синхронізовані з іншими особистими даними. У 1995 році у мене цієї пошти не було, клянусь. Уміють же, коли хочуть, Мінцифри відпочивають на цьому тлі", - дивується Сидоренко.
До чого тут Дія
Додаток для смартфона Дія містить електронні копії документів - паспортів, прав, техпаспорта на авто. В Україні вони є легальними замінниками паперових документів.
Нардеп Олександр Дубінський звинуватив Дію у зливі персональних даних. Але пізніше видалив цю інформацію.
"Тільки що розмовляв з міністром цифрової трансформації Михайлом Федоровим, який протягом дня обіцяє надати інформацію про те, хто і як зливає дані з держреєстрів. До моменту отримання цієї інформації пости про Дію видалені. Якщо інформація Михайла виявиться не релевантною, або не доведе зворотного - повернемося до теми", - пояснив видалення Дубінський.
У Міністерстві цифрової трансформації будь-яку причетність сервісу Дія до витоку даних заперечують. Там пояснюють, що Дія не має власної бази даних, а лише відображає інформацію з реєстрів.
Та й обсяги інформації, доступної в боті, в десятки, а то і сотні разів, перевищує ту, з якою працює Дія. Там зазначають, що аналіз бота свідчить про використання старих баз даних ПриватБанку.
"Зловживання використанням персональних даних громадян неприпустимо! Служба безпеки України вже проводить слідчі дії стосовно зловмисників, що поширюють таку інформацію в інтернеті", - заявили в міністерстві.
У Мінцифри застерігають: намагаючись знайти інформацію про себе в різних нелегальних ботах, ви самі надаєте зловмисникам персональні дані.
До чого це призведе
Артем Коханевич, СЕО GigaCloud вважає звинувачення сервісу Дія у витоку персональних даних українців безпідставними.
Додаток не зберігає дані у своїй власній базі, а бере їх з цілого ряду реєстрів. Принцип його роботи можна порівняти, наприклад, з популярними маркетплейсами, які виступають посередником і "пов'язують" між собою покупців та продавців. Смішний факт - люди, які не могли добитися в Дії відображення своєї фотографії на правах, побачили її в телеграм-боті. Тобто, бази були отримані звідки завгодно, але не з Дії", - констатує Коханевич.
На його думку, атака керована і спрямована проти продовження розвитку проекту.
"Якщо Федорову з командою вдасться реалізувати хоча б половину з заявленого, постраждає дуже багато сірих і корупційних схем. Україна зараз пасе задніх у цифровізації державотворчих процесів, і це не тому, що "всі нормальні давно виїхали" - цифровізація значно зменшує можливість для маніпуляцій, і замовники керованого бардаку будуть цьому активно чинити опір", - вважає менеджер.
Разом з тим Коханевич зазначає, що сервіс Дія розробляється "якимись людьми за чиїсь гроші".
"Дія фізично розміщена в одному дата-центрі в одного з комерційних операторів, вибір якого був абсолютно непрозорим, що можна сказати і про команду розробки. На перше місце поставлено швидкість запуску нових сервісів. Питання відмовостійкості і резервування, захисту від зовнішніх вторгнень, DDoS, захисту персональних даних - це те, що за гонкою функціоналу завжди залишається на другому плані. Атаку через анонімний телеграм-бот, Дія переживе без проблем. Але не за горами інциденти, викликані неправильною архітектурою - і ось там щось відповісти суспільству буде вже складніше", - прогнозує фахівець.