Як зливають бази даних: чи можливо захистити інформацію про себе
Скандал із доступом до персональних даних та документів мільйонів українців набирає обертів. Що це означає та що робити, якщо ваші дані потрапили у мережу – читайте у матеріалі.
Користувачі соцмереж припускають, що сотні гігабайтів даних потрапили у нелегальні бази з програми Дія, однак це, скоріш за все, не так. Чому – розбирався 24 канал.
Важливо: 26 мільйонів документів українців злили в мережу: за справу взялась поліція
Чому всі заговорили про витік даних?
Тому що в Telegram з’явився бот UA Baza. Там можна знайти персональні дані та документи українців. Зокрема, у відкритий доступ потрапили 26 мільйона посвідчень водія. Ввечері 12 травня бот видалили через значну кількість скарг. Однак вже 13 травня створили іншого бота UA Baza Bot, але "поки не афішують, щоб виключити можливість бану".
До публічного скандалу бот успішно проіснував півроку. 12 травня публічно про витік даних розповів Head Chef громадської організації Електронна демократія Володимир Фльонц.
Мені показали не лише паспортні дані, мої старі паролі (які досі актуальні), дані з біометричних паспортів і вишенька на торті – водійське посвідчення, про яке я навіть не здогадувався. Навіть в Дії його не показує, а у хлопців в базі – є. Ось так вже зараз виглядає їх цифрове майбутнє,
– повідомив він.
Які дані українців потрапили у відкритий доступ?
Всього, якщо вірити творцям бота, у них є 900 гігабайт баз даних. Серед них – 110 млн номерів телефонів, 148 млн контактів, 4,5 млрд електронних пошт, 3,4 млрд паролів, 51 млн ідентифікаційних кодів і 4,3 млн номерів автомобілів.
Також важливо Стався витік даних – в тебе проблеми: інтерв'ю про захист приватності в цифровому світі
Крім того, творці боту мають базу контактів одного з інформаційних агентств, яка містила інформацію про 880 тисяч компаній з контактами їх керівників. Також бот пропонує менеджерам з підпору персоналу резюме з IT-ресурсу habr.com. З державних реєстрів в боті були дані з бази виборців 2014 року і деякі дані з Єдиного державного демографічного реєстру(ЄДДР). Також в базі бота була інформація з відкритих реєстрів, доступних публічно.
Із початком скандалу в Інтернеті почали ширитись припущення, що до витоку даних причетний сервіс Дія, який розробило Міністерство цифрової трансформації. Однак у міністерстві будь-яку причетність сервісу до витоку даних заперечують. Там пояснюють, що Дія не має власної бази даних, а лише відображає інформацію з реєстрів.
Що таке Дія?Це масштабний проєкт уряду в рамках ідеї "держава в смартфоні". Спочатку запрацював мобільний додаток Дія – його можна безкоштовно завантажити у магазинах додатків для Android та Apple. У березні стала доступна і десктопна версія сервісу.
В рамках цього проєкту вже до кінця 2020 року планують оцифрувати до 50 найпоширеніших державних послуг. А от повністю оцифрувати усі державні послуги планують протягом 3 років.
Архітектура Дії побудована так, що на серверній частині взагалі не здійснюється зберігання персональних даних користувачів. Дія відображає їх, лише здійснюючи разовий запит. При цьому інформація в каналах передачі даних передається в зашифрованому вигляді, а на деяких етапах – використовується подвійне шифрування.
Співзасновник волонтерського об'єднання "Український кіберальянс" Андрій Баранович (Sean Townsend) у коментарі 24 каналу також підтвердив, що сервіс може бути ні до чого.
"Витік стався не обов'язково з Дії, хоча це не виключено. У серверної частини Дії є прямий доступ до реєстрів. Але з тим же успіхом могли протекти реєстри. Поки даних про те, звідки стався витік недостатньо", – сказав він.
Які наслідки може мати такий витік?
Ці дані можуть використати шахраї. Як саме та з якою метою – залежить виключно від їхньої фантазії.
Чому відбуваються такі витоки даних?
Через людей.
Найчастіше, причина – звичайний підкуп. Співробітник, який має доступ до бази даних по роботі, просто копіює її та продає. Вже потім куплені або публічні бази об'єднуються в одну. Іноді витік може бути через дірку в інформаційних системах або в результаті злому, але це трапляється рідше,
– пояснив Баранович.
Юрист, фахівчиня з впровадження в інноваційні продукти захисту особистої інформації і даних користувачів Галина Василевська також зазначила, що 90% витоків, які відбуваються – це не технічні збої, а неправильне і часто безвідповідальне використання систем. "Часто витоки відбуваються через відсутність культури роботи з даними, відсутність двофакторної автентифікації, відсутність необхідних контролів, які б запобігли таким історіям", – сказала вона.
Хто за це відповість?
Судячи з усього, у Держбюро розслідувань також вважають, що ідеться про людський фактор. У ДБР припускають, що до витоку персональних даних можуть бути причетні посадові особи Головного сервісного центру МВС України та Державної міграційної служби.
Разом із тим, за словами Василевської, є висока ймовірність того, що це справа нічим не закінчиться. Крім усього іншого, за її словами, у цій справі необхідно довести склад злочину. Частиною складу злочину є умисел або злочинна недбалість, довести наявність яких у цій історії може бути проблематично.
З іншого боку, ця історія нагадає, що потрібно приділити увагу питанням приватності при імплементації будь-яких державних інновацій. Допоки в Україні не буде нормального фреймворку і нормальних режимів контролю за подібними ситуаціями, а буде лише дещо застарілий закон про персональні дані, ймовірність того, що такі історії будуть відбуватися, збільшується,
– додала вона.
Що робити українцям у такій ситуації?
Головне – прийняти той факт, що ваші дані можуть потрапити у мережу і змиритись із цим.
Цікаво У Telegram виявлені боти, які торгують персональними даними українців
"Потрібно пам'ятати, що витоки даних - це нормально, вони відбуваються скрізь. Ваше завдання подбати про те, щоб ускладнити доступ до вашої інформації. Ставити додаткові паролі, додаткову автентифікацію", – сказала Василевська.
За її словами, ключові поради для користувачів такі:
- Включіть двофакторну авторизацію скрізь, де вона можлива.
- 3ахищайте паролі. Необхідно мати різні паролі для різних додатків. Бажано, аби паролі були складні – їх легше забути, але вони надійніші.
- Не завантажувати всю важливу вам інформацію в одне місце з одним паролем.
- Не надавайте доступ до своїх даних.
- Вчасно обнуляйте паролі.
- Відмовтесь від синхронізованого доступу до різних сервісів.
Захиститися самостійно досить складно. Я б просто по можливості, не залишав свої дані кому попало, і рідше користувався будь-якими державними сервісами. І звичайно потрібно дотримуватися простих правил безпеки – не клікати скрізь, не користуватись сумнівними додатками, використовувати складні паролі і періодично їх міняти,
– додав Баранович.
Більше про це Як захистити дані в інтернеті: 5 важливих правил
Василевська також додала, що якщо дані вашого паспорту чи водійських прав потрапили у мережу - це не так критично. Без фізичної копії паспорту, вкрай складно зробити із ним якісь маніпуляції. За її словами, набагато більш чутливими є дані про дату народження і електронну пошту.
"У більшості сервісів, якими ви користуєтеся, ви не вводите серію і номер паспорта. А дата народження - це дуже частий фактор автентифікації. Доступ до банку – це ваш номер телефону та електронна пошта. Це – набагато більш вразливі дані, ніж інформація про паспорт", – пояснила Василевська.