Витік персональних даних українців у Telegram-бот міг статися з баз Міністерства внутрішніх справ, а додаток «Дія» сам по собі за бази даних не відповідає.
Про це «Бабелю» розповів експрацівник СБУ, фахівець з кібербезпеки Микита Книш.
«На мій погляд, витік з бази МВС», — сказав він, пояснивши, що проблема в «дірявих» базах. «Потрібно, щоб кожен доступ і кожен запис в базі даних фіксувався — хто, коли і на якій підставі заходить в цю базу, запитує відомості, вносить зміни, доповнює. Тоді можна буде чітко зрозуміти, в який момент ця база даних «витекла», хто за це відповідальний, хто в цей момент з нею працював», — розповів він.
Фахівець зазначив, що дані з «Дії» вкрасти не могли, оскільки вони зберігаються в іншому місці, а сам додаток не відповідає за бази даних.
«Він тільки має доступ до даних через запити API. Додаток створювала компанія EPAM. Я знаю їх безпеківців, які перевіряли там все. Там все налаштовано непогано. Навіть якби хтось розколупав «Дію», він не розколупає запити на сервери», — пояснив Книш.
При цьому він заявив, що бот відомий вже давно — мінімум пів року.
«До цього бота я не зустрічав ніде даних водійських прав, але у відкритому доступі були інші дані. Буквально за пару тижнів до цього на конференції «Цифрове середньовіччя» я показував цього бота, щоб дізнатися дані про власність на автомобілі на прикладі одного депутата, у якого «мама любить швидкість» [Олександр Дубінський]. За допомогою бота можна було побачити дату придбання авто, його постановки на облік. В оновленій версії бота зʼявилася база водійських прав. Але ще до оновлення бот дозволяв знаходити дані по банках, реєстрах виборців, різні паролі. Все це сортувалося за прізвищами користувачів та індивідуальними податковими номерами. Бот відомий, як мінімум, пів року», — розповів фахівець.
- Наприкінці квітня журналісти AIN.UA і організація «Електронна демократія» повідомляли, що в месенджері Telegram працює бот, який продає особисті дані українців. База містить номери паспортів, дані прописки, державних реєстрів та паролі до соцмереж. Пізніше стало відомо про витік даних українців з 26 млн водійських посвідчень. Користувачі соцмереж припустили, що дані були отримані з додатку «Дія».
- 12 травня Служба безпеки почала розслідування, а глава Мінцифри Михайло Федоров також заявив, що «Дія» ні при чому.
- У МВС заявили, що витік не повʼязаний із додатком «Дія», а дані зібрали з баз державних відомств та неурядових організацій.