Утечка персональных данных украинцев в Telegram-бот могла произойти из баз Министерства внутренних дел, а приложение «Дія» само по себе за базы данных не отвечает.
Об этом «Бабелю» рассказал экс-сотрудник СБУ, специалист по кибербезопасности Никита Кныш.
«На мой взгляд, утекло из базы МВД», — сказал он, пояснив, что проблема в «дырявых» базах. «Нужно, чтобы каждый доступ и каждая запись в базе данных фиксировалась — кто, когда и на каком основании заходит в эту базу, запрашивает данные, вносит изменения, дополняет. Тогда можно будет четко понять, в какой момент эта база данных «ушла», кто за это ответственен, кто в этот момент с ней работал», — рассказал он.
Специалист отметил, что данные из «Дія» украсть не могли, поскольку они хранятся в другом месте, а само приложение не отвечает за базы данных.
«Оно только имеет доступ к данным через запросы API. Приложение создавала компания ЕРАМ. Я знаю их безопасников, которые проверяли там все. Там все настроено неплохо. Даже если кто-то расковырял «Дію», он не расковыряет запросы на серверы», — пояснил Кныш.
При этом он заявил, что бот известен уже давно — минимум полгода.
«До этого бота я не встречал нигде данных с водительских прав, но в открытом доступе были другие данные. Буквально за пару недель до этого на конференции «Цифровое средневековье» я показывал этого бота, чтобы узнать данные о собственности на автомобили на примере одного депутата, у которого «мама любит скорость» [Александр Дубинский]. С помощью бота можно было увидеть дату приобретения авто, его постановки на учет. В обновленной версии бота появилась база водительских прав. Но еще до обновления бот позволял находить данные по банкам, реестру избирателей, различные пароли. Все это сортировалось по фамилиям пользователей и индивидуальным налоговым номерам. Бот известен как минимум полгода», — рассказал специалист.
- В конце апреля журналисты AIN.UA и организация «Электронная демократия» сообщали, что в мессенджере Telegram работает бот, который продает личные данные украинцев. База содержит номера паспортов, данные прописки, государственных реестров и пароли соцсетей. Позднее стало известно об утечке данных украинцев с 26 млн водительских удостоверений. Пользователи соцсетей предположили, что данные были получены из приложения «Дія».
- 12 мая Служба безопасности начала расследование, а глава Минцифры Михаил Федоров также заявил, что «Дія» ни при чем.
- В МВД заявили, что утечка не связана с приложением «Дія», а данные собрали из баз государственных ведомств и неправительственных организаций.