ваша підтримка важлива для незалежного видання стань патроном
У Мінцифри прокоментували оприлюднене на одному з хакерських форумів оголошення про продаж бази даних 2 млн українців, «злитої» внаслідок масштабної кібератаки на урядові сайти в ніч з 13 на 14 січня. У відомстві цей інцидент назвали «продовженням гібридної війни».
Натомість низка експертів стверджує: дані з «витоку» виявились справжніми.
«Починаючи з минулих вихідних, в інтернеті постійно з’являються оголошення щодо продажу даних, нібито отриманих під час кібератаки, що відбулася з 13 на 14 січня. У тому числі багато оголошень стосується продажу бази даних Дії. Такі оголошення мають на меті не тільки залякати суспільство. А ще й дестабілізувати ситуацію в Україні, зупинивши роботу державного сектора», – йдеться в офіційній позиції, опублікованій на сторінці застосунку Дія.
У відомстві наголосили, що користувачами Дії є 13,5 млн українців, а не 2 млн, як зазначено в оголошеннях про продаж. При цьому мобільний застосунок начебто не зберігає персональних даних, а лише відображає те, що зберігається у відповідних державних реєстрах.
Українців закликали не піддаватися паніці та запевняють: усі персональні дані перебувають під надійним захистом у держреєстрах.
«Оголошення про можливість купити дані, отримані після зламу 14 січня, є аферою: шахраї продають старі дані, що скомплектовані з багатьох джерел, які були злиті до 2019 року», – стверджують у Мінцифри.
Однак, на думку експерта з кібербезпеки Володимира Пасіки, пост Мінцифри не повністю відповідає дійсності. Адже якщо подивитися дату створення файлів у злитому дампі (файл з повним або частковим вмістом бази даних – ред.) самого порталу, то можна побачити там зовсім не 2019 рік.
«Дія заявила, що дампи – не з їх сайту, а склейка з даних, які були зламані раніше, і їх скомпілювали в дамп спеціально для проведення інформаційної атаки. Це може бути правдою, оскільки сьогодні національне українське свято, а росіяни люблять робити підлість по святах. Відкритим залишається питання контролю серверів дії росіянами, оскільки, крім дампів, злитий був і сам сайт порталу Дія. Тобто був доступ до файлів і можливості перехоплення інформації. На підтвердження того, що портал ламався не в 2019, а зараз можна переглянути будь-які файли, які досі є в інтерфейсі порталу і глянути їх дату створення. В цій ситуації слід пам'ятати, що першопричина витоку даних і його наслідків – російська агресія, а тільки потім – тупість виконавців», – вважає Володимир.
Дописувачі також зазначають: твердження Мінцифри про те, що Дія не зберігає персональних даних, м'яко кажучи, є сумнівним. А той факт, що застосунок має 13 млн користувачів, ніяк не суперечить тому, що зловмисники змогли «злити» інформацію тільки про 2 млн українців. Або ж гіпотетично могли викрасти і решту, але поки не виставляти на продаж.
«Я не можу засвідчити що дамп бази саме з Дії, для цього мало вихідних даних. Проте в тому шматочку бази, яка зараз доступна для безкоштовного ознайомлення, присутні дати за 2021 рік, що дивним чином збігаються з датою останнього входу на веб портал Дії та генерацією ковідного сертифікату. А саме – поле "updatedAt"», – коментує фахівець з телекомунікацій та інформатизації Олександр Раєвський.
Засновник Інституту постінформаційного суспільства Дмитро Золотухін зауважує: перевірити справжність «злитої» бази – досить просто.
«Качаєте найменший архів одного з семлів дампу з 26,2 тисячею файлів, розпаковуєте собі в папку у «пісочниці». Тобто на комп’ютері чи віртуальній машині, де ви вільно відкриєте вірогідно заражені вірусами файли. Відкриваєте переглядачем з десяток файлів навмання та знаходите номери телефонів та ПІБ. Телефонуєте і встановлюєте, чи на тому кінці дроту відповість той самий ПІБ. І питаєте, чи користувався він порталом Дія? Зокрема, чи використовував портал Дія для реєстрації ФОП, або підвантаження документів», – рекомендує експерт.
Тим часом журналісти вже скористалися цим методом і перевірили дані з витоку.
І вони нібито виявилися реальними. Про це йдеться у матеріалі видання ITC.UA.
«Наша редакція перевірила інформацію з цього фрагменту та зв’язалася з деякими людьми, вказаними в ньому. Вони підтвердили правдивість деяких відомостей з бази даних (щонайменше, телефони та ПІБ збігаються), але зі зрозумілих причин не хотіли надавати підтвердження всієї інформації про себе. Судячи з наявної інформації, база даних містить інформацію, додану в тому числі наприкінці 2021 року», – повідомив журналіст Вадим Карпусь.
Водночас у Мінцифри закликали українських кіберспеціалістівв «об'єднатися, щоб протистояти загрозі та нейтралізувати противника».
Нагадаємо: • У ніч із 13 на 14 січня В Україні сталася найпотужніша за останні чотири роки кібератака на урядові портали, яка охопила 70 державних сайтів. • За попередніми даними слідства, до інформаційної атаки може бути причетне угруповання UNC1151, яке пов’язують зі спецслужбами Білорусі. Своєю чергою, у Службі безпеки також заявляли про виявлення певних ознак причетності до інциденту хакерських груп, пов’язаних з російськими спецслужбами. 16 січня Міністерство цифрової трансформації також повідомило, що наразі всі докази свідчать про організацію РФ кібератаки на українські урядові сайти.