Новини

Витік даних українців в Telegram міг статися з баз МВС. «Дія» інформацію не зберігає

Автори:
Костя Андрейковець, Алла Кошляк
Дата:

Vincent Mundy / Bloomberg via Getty Images

Витік персональних даних українців у Telegram-бот міг статися з баз Міністерства внутрішніх справ, а додаток «Дія» сам по собі за бази даних не відповідає.

Про це «Бабелю» розповів експрацівник СБУ, фахівець з кібербезпеки Микита Книш.

«На мій погляд, витік з бази МВС», — сказав він, пояснивши, що проблема в «дірявих» базах. «Потрібно, щоб кожен доступ і кожен запис в базі даних фіксувався — хто, коли і на якій підставі заходить в цю базу, запитує відомості, вносить зміни, доповнює. Тоді можна буде чітко зрозуміти, в який момент ця база даних «витекла», хто за це відповідальний, хто в цей момент з нею працював», — розповів він.

Фахівець зазначив, що дані з «Дії» вкрасти не могли, оскільки вони зберігаються в іншому місці, а сам додаток не відповідає за бази даних.

«Він тільки має доступ до даних через запити API. Додаток створювала компанія EPAM. Я знаю їх безпеківців, які перевіряли там все. Там все налаштовано непогано. Навіть якби хтось розколупав «Дію», він не розколупає запити на сервери», — пояснив Книш.

При цьому він заявив, що бот відомий вже давно — мінімум пів року.

«До цього бота я не зустрічав ніде даних водійських прав, але у відкритому доступі були інші дані. Буквально за пару тижнів до цього на конференції «Цифрове середньовіччя» я показував цього бота, щоб дізнатися дані про власність на автомобілі на прикладі одного депутата, у якого «мама любить швидкість» [Олександр Дубінський]. За допомогою бота можна було побачити дату придбання авто, його постановки на облік. В оновленій версії бота зʼявилася база водійських прав. Але ще до оновлення бот дозволяв знаходити дані по банках, реєстрах виборців, різні паролі. Все це сортувалося за прізвищами користувачів та індивідуальними податковими номерами. Бот відомий, як мінімум, пів року», — розповів фахівець.