Как сливают базы данных: возможно ли защитить информацию о себе
Скандал с доступом к персональным данным и документам миллионов украинцев набирает обороты. Что это значит и что делать, если ваши данные попали в сеть – читайте в материале.
Пользователи соцсетей предполагают, что сотни гигабайт данных попали в нелегальные базы из программы "Дия", однако это, скорее всего, не так. Почему – разбирался 24 канал.
Важно: 26 миллионов документов украинцев слили в сеть: за дело взялась полиция
Почему все заговорили об утечке данных?
Потому что в Telegram появился бот UA Baza. Там можно найти персональные данные и документы украинцев. В частности, в открытый доступ попали 26 миллиона водительских удостоверений. Вечером 12 мая бот удалили за большого количества жалоб. Однако уже 13 мая создали другого бота UA Baza Bot, но "пока не афишируют, чтобы исключить возможность бана".
До публичного скандала бот успешно просуществовал полгода. 12 мая публично об утечке данных рассказал Head Chef общественной организации "Электронная демократия" Владимир Фльонц.
Мне показали не только паспортные данные, мои старые пароли (которые до сих пор актуальны), данные биометрических паспортов и вишенка на торте – водительское удостоверение, о котором я даже не догадывался. Даже в "Дие" его не показывает, а у ребят в базе – есть. Вот так уже сейчас выглядит их цифровое будущее,
– сообщил он.
Какие данные украинцев попали в открытый доступ?
В целом, если верить создателям робота, у них есть 900 гигабайт баз данных. Среди них – 110 миллионов номеров телефонов, 148 миллионов контактов, 4,5 миллиарда адресов электронных почт, 3,4 миллиарда паролей, 51 миллион идентификационных кодов и 4,3 миллиона номеров автомобилей.
Также важно Произошла утечка данных – у тебя проблемы: интервью о защите приватности в цифровом мире
Кроме того, в своей базе создатели бота хранят базу контактов одного из информационных агентств, которая содержала информацию о 880 тысячах компаний с контактами их руководителей. Также бот предлагает менеджерам по подбору персонала резюме с IT-ресурса habr.com. Из государственных реестров у бота были данные из базы избирателей 2014 года и некоторые данные из Единого государственного демографического реестра (ЕГДР). Также в базе бота была информация из открытых реестров, доступных публично.
С началом скандала в Интернете начали распространяться предположения, что к утечке данных причастен сервис "Дия", который разработало Министерство цифровой трансформации. Однако в министерстве любую причастность сервиса к утечке данных отрицают. Там объясняют, что "Дия" не имеет собственной базы данных, а лишь отражает информацию из реестров.
Что такое "Дия"?
Это масштабный проект правительства в рамках идеи "государство в смартфоне". Сначала заработал мобильное приложение "Дия" – его можно бесплатно загрузить в магазинах приложений для Android и Apple. В марте стала доступна и десктопная версия сервиса.
В рамках этого проекта уже до конца 2020 года планируют оцифровать до 50 распространенных государственных услуг. А вот полностью оцифровать все государственные услуги планируют в течение 3 лет.
Архитектура "Дии" построена так, что на серверной части вообще не осуществляется хранение персональных данных пользователей. "Дия" отражает их, только осуществляя разовый запрос. При этом информация в каналах передачи данных передается в зашифрованном виде, а на некоторых этапах – используется двойное шифрование.
Соучредитель волонтерского объединения "Украинский киберальянс" Андрей Баранович (Sean Townsend) в комментарии 24 каналу также подтвердил, что сервис может быть не при чем
"Утечка произошла не обязательно из "Дии", хотя это не исключено. В серверной части "Дии" есть прямой доступ к реестрам. Но с тем же успехом могли протечь реестры. Пока данных о том, откуда произошла утечка недостаточно", – сказал он.
Какие последствия может иметь такая утечка?
Эти данные могут использовать мошенники. Как и с какой целью – зависит исключительно от их фантазии.
Почему происходят такие утечки данных?
Из-за людей.
Чаще всего, причина – обычный подкуп. Сотрудник, который имеет доступ к базе данных по работе, просто копирует ее и продает. Уже потом купленные или публичные базы объединяются в одну. Иногда утечка может бытьиз-за дыры в информационных системах или в результате взлома, но это случается реже,
– объяснил Баранович.
Юрист, специалист по внедрению в инновационные продукты защиты личной информации и данных пользователей Галина Василевская также отметила, что 90% утечек, которые происходят – это не технические сбои, а неправильное и часто безответственное использование систем. "Часто утечки происходят из-за отсутствия культуры работы с данными, отсутствие двухфакторной аутентификации, отсутствие необходимых контролей, которые бы предотвратили такие истории", – сказала она.
Кто за это ответит?
Судя по всему, в Госбюро расследований также считают, что речь идет о человеческом факторе. В ГБР предполагают, что к утечке персональных данных могут быть причастны должностные лица Главного сервисного центра МВД Украины и Государственной миграционной службы.
Вместе с тем, по словам Василевской, высока вероятность того, что это дело ничем не закончится. Кроме всего прочего, по ее словам, в этом деле необходимо доказать состав преступления. Частью состава преступления является умысел или преступная небрежность, доказать наличие которых в этой истории может быть проблематично.
С другой стороны, эта история напомнит, что нужно уделить внимание вопросам приватности при имплементации любых государственных инноваций. Пока в Украине не будет нормального фреймворка и нормальных режимов контроля за подобными ситуациями, а лишь чуть устаревший закон о персональных данных, вероятность того, что такие истории будут происходить, увеличивается,
– добавила она.
Что делать украинцам в такой ситуации?
Главное – принять тот факт, что ваши данные могут попасть в сеть и смириться с этим.
Интересно В Telegram обнаружены боты, торгующих персональными данными украинцев
"Нужно помнить, что утечки данных – это нормально, они происходят везде. Ваша задача позаботиться о том, чтобы затруднить доступ к вашей информации. Ставить дополнительные пароли, дополнительную аутентификацию", – сказала Василевская.
По ее словам, ключевые советы для пользователей такие:
- Включите двухфакторную авторизацию везде, где она возможна.
- 3ахищайте пароли. Необходимо иметь разные пароли для разных приложений. Желательно, чтобы пароли были сложные – их легче забыть, но они надежнее.
- Не загружать всю важную вам информацию в одно место с одним паролем.
- Не давать доступ к своим данным.
- Вовремя обнуляйте пароли.
- Откажитесь от синхронизированного доступа к различным сервисам.
Защититься самостоятельно довольно сложно. Я бы просто по возможности, не оставлял свои данные кому попало, и реже пользовался любыми государственными сервисами. И конечно нужно соблюдать простые правила безопасности – не кликать везде, не пользоваться сомнительными приложениями, использовать сложные пароли и периодически их менять,
– добавил Баранович.
Больше об этом Как защитить данные в интернете: 5 важных правил
Василевская также добавила, что если данные вашего паспорта или водительских прав попали в сеть – это не так критично. Без физической копии паспорта, крайне сложно сделать с ним какие-то манипуляции. По ее словам, гораздо более чувствительными явяются данные о дате рождения и электронной почте.
"В большинстве сервисов, которыми вы пользуетесь, вы не вводите серию и номер паспорта. А дата рождения – это очень частый фактор аутентификации. Доступ к банку – это номер телефона и электронной почты. Это – гораздо более уязвимые данные, чем информация о паспорте", – объяснила Василевская.