"Ліві" кредити, шкідливі програми і спам: експерт з кібербезпеки про наслідки можливого зливу даних з "ДіЯ"

Днями нардеп від "Слуги народу" Олександр Федієнкоповідомив про масштабний "злив" бази із особистими даними українців: серії паспортів, номери телефонів пошта та інше. "Чорний" архів складається із 20 мільйонів рядків під назвою "diia_users_db_2025.zip." В Міністерстві цифрової трансформації запевнили, що жодних витоків з "ДіЯ" не було, а опубліковані файли це суміш раніше відомих "зливів" з комерційних джерел які вручну відредагували та доповнили підробними записами.

Чи справді це так? Кому на "чорному" ринку може знадобитися така база і які ризики очікують на українців, якщо дані все ж "свіжі"? На ці запитання в інтерв’ю "Телеграфу" відповів експерт з кібербезпеки, колишній керівник підрозділу по боротьбі з кіберзлочинністю в СБУ Костянтин Корсун.

– Костянтине, той виток даних, який ми бачили, це все ж таки з "ДіЯ" чи ні? Бо в Мінцифри вже заявили, що це "старі" "зливи" з комерційних джерел, можливо, з якихось фінансових установ. Як ви оцінюєте?

– Два технічних експерти, незалежно проаналізували цей витік, і дійшли до висновку, що це з "ДіЯ" і це саме "свіжий" витік, тому що там містяться технічні ідентифікатори, які є тільки в "ДіЯ".

Плюс поєднання даних. Там же міститься не тільки номер, серія паспорту, де і коли він виданий. Мало де в централізованому вигляді така інформація збирається в загальнонаціональному масштабі. Там же є ще номер телефону і e-mail. А в "ДіЯ" без номеру телефону ви не зможете зареєструватися. Тобто ваш prepaid-номер (передплаченого зв’язку. — Ред.) без контракту, анонімний, по факту деанонімізується при реєстрації в "ДіЯ". Відбувається чітка прив'язка до вашого ПІБ, дати, місця народження з вашою фотографією, в тому числі. В той же час, при реєстрації в "ДіЯ" e-mail не обов'язковий, а опціональний. Але! Якщо ви хочете якимось чином взаємодіяти через інтерфейс "ДіЯ" з державними органами: отримувати якісь довідки, документи, то вам обов'язково треба вказувати e-mail, на який ці довідки і документи вам будуть приходити. Тому e-mail доведеться вказати. І в цій базі є повні паспортні дані, номер телефону і e-mail. Це повністю знищує конфіденційність персональних даних, анонімність. Ваш e-mail і номер телефону з прив'язкою особисто до вас – і ви як на долоні, прозорі. І немає вже сенсу питати, а звідки шахраї знають мій номер телефону.

Самі номери телефонів, звісно, не таємниця. Саме номери. Якщо у вас останні дві цифри номеру "44", то мабуть є і "43" і "42". А от ідентифікація по номеру телефона з прив'язкою до конкретної людини з ПІБ і навіть датою народження, це може бути тільки в державних базах даних.

– Виключно в державних?

– Це може бути і в комерційних банках. З банків витоки також трапляються. Але! Там такі речі відбуваються значно рідше, тому що там значно жорсткіші умови. В банках, наприклад, обов'язковим є щорічний аудит кібербезпеки незалежною компанією. Якщо ви хочете співпрацювати з Visa чи Mastercard (а без цього жоден банк не виживе), то Visa чи Mastercard вимагають щорічно у кожного банку проходити аудит незалежною компанією за міжнародними стандартами по банківській кібербезпеці. Якщо цього немає, то у вас просто заберуть ліцензію і банк банкрут. У нас Мінцифра щось подібне проходила? Ні. "ДіЯ" хоч раз проходила зовнішній незалежний аудит? Ніколи не проходила. Тому те, що зараз [Мінцифри] все заперечують, це все тільки на словах. Вірте нам на слово і все.

– В чому проблема пройти "Дія" такий аудит? Виявили недоліки, "прикрутили" що треба і все добре. Чому ні?

– В принципі, якщо б це було чесно, прозоро, професійно і грамотно, то ніяких проблем абсолютно. У нас є "велика четвірка" міжнародних аудиторських компаній (Deloitte, PricewaterhouseCoopers, Ernst & Young, KPMG, – Ред.) в кожній з них є дуже потужний аудиторський блок по кібербезпеці. Вони проводять аналіз кібербезпеки і дають свої висновки. Запросіть їх. Так, вони будуть дорого коштувати, але це буде абсолютно незалежно, повністю комплексно, і їхні висновки вже ніхто не буде оскаржувати, і я не буду оскаржувати. Тому що репутація – це їхній бізнес. Вони не можуть собі дозволити взяти якийсь дрібний хабар в якоїсь України і знищити по всьому світу свій бізнес. Тому їхні висновки доволі об'єктивні. Але цього не робиться. Можливі причини: буде викрито недотримання базових ключових принципів як по ІТ (архітектурі, побудові, розробці додатків), так і по безпеці.

По-друге, буде виявлено політичний характер цієї історії: гіперреклама, залучення адміністративних ресурсів, державний примус встановлювати "ДіЯ". Останній випадок –квитки на "Укрзалізницю". Немає "ДіЯ"? Нікуди не їдеш, сиди вдома.

– Ця база даних, яка опинилася в мережі, наче як продається за 4,5 тисячі доларів. Кому вигідно і кому треба купувати цю базу за такі гроші? Я не думаю, що якісь дрібні шахраї, які з колоній телефонують громадянам, будуть витрачати такі кошти на цю базу. Тоді хто і навіщо?

– Насправді ціна дуже низька і приваблива. Подібні бази коштують 20, 30, 50, 100 тисяч доларів. І шахраї ці 4,5 тисячі доларів можуть заробити за кілька днів. Багато людей її куплять, якщо переконаються, що вона "жива".

– А вона "жива"?

– Дійсно, питання в тому, чи вона справжня, чи вона "надута"? Семпл (пробник) можуть показати класний, якісний, зі "свіженькими" даними, а все інше (як це часто буває) буде шлаком. Тобто наскирдовано нерелевантною інформацією. Та на "чорному" ринку є свої механізми: через гаранта купляють, перевіряють і так далі. Чи така це база? Не знаю. Треба її купити для початку, щоб повністю проаналізувати. Наразі там 20 мільйонів записів. На безкоштовний семпл виставили один мільйон. І те, що проаналізовано, цей мільйон, він точно з "ДіЯ". Можливо, там інша частина буде з інших шматків, але той мільйон, який показали, на 95% з "ДіЯ". Там унікальний ідентифікатор і "свіжі" дані.

Якщо ти купиш базу даних, то через рік вона вже буде неактуальна на 20%. Люди постійно щось змінюють: адреси, телефони, місця реєстрації, прізвища. В цьому специфіка баз даних. Їх треба або апдейтами постійно докупляти, або "свіжі" бази купляти, в залежності від того, як швидко вона змінюється.

– Як конкретно така база даних в руках шахраїв може нашкодити людині?

– В схемах шахраїв такі бази дуже важливі. Особливо прив'язка конкретної людини до її телефону і e-mail. На e-mail буде приходити персоніфікований спам. Якщо ви хочете розповсюдити шкідливе програмне забезпечення, скажімо, серед жінок, то ви не будете їм надсилати рекламу вудочок чи автомобілів. Вам треба знати, що власники цих номерів телефону саме жінки і їм треба надсилати рекламу про, начебто, знижки в магазинах одягу, косметики і тому подібне. Тобто персоніфікувати інформацію під певну стать, вік, регіон. Тому шахраю максимально важливо тримати цю базу "свіжою". Якимись номерами телефонів люди перестають користуватися, а більшість українських операторів, якщо від 6 до 12 місяців, ви не користуєтесь номером, його знов продають. З'явився новий власник номеру і він вказує його в інших базах: була молода жінка, а став чоловік поважного віку. Тому для "чорного" бізнесу "свіжі" бази дуже важливі.

– Гаразд, а кредит на людину таким чином можна оформити, якщо дані в базі "свіжі"?

– Тут значно складніше, але і дуже вигідно. І наявність "свіжих" персональних даних це обов'язкова передумова [для таких шахрайських дій]. Є спеціалізовані групи, які саме цим займаються і для них дуже важливо мати "свіжі" дані.

Нагадаю останній випадок: через "ДіЯ"оформили кредит на людину. Вона вже давно не користувалася одним номером телефону і навіть забула, що у неї був e-mail прив'язаний. Є спеціальний сервіс, де якісь банківські працівники продають нелегально інформацію про користувачів, які вже давно не користуються в банку якимись рахунками. Ну багато ж хто з нас відкривав рахунок в банку і він там досі є. Цю інформацію продають шахраям. Шахраї бачать номер телефону, бачать, що він не використовується. Вони викуповують цей номер телефону у оператора. Все легально. І через цей номер телефону вони відновлюють аккаунт в банку від імені тієї людини, яка про це нічого не знає. Через цей же номер телефону шахраї відновлюють і старий e-mail: SMS-код на номер телефону присилають для відновлення. Таким чином, маючи номер телефону, e-mail, акаунт в банку, шахраї отримують "ДіЯ", тому що це виходить BankID. З точки зору банку, все легально, законно і згідно законодавства. А отримавши "ДіЯ", банк не відмовляє у видачі кредиту. І шахраї понабирають цих кредитів, а людина через місяць про це дізнається, коли вже почнуть колектори телефонувати.

Це складна схема, таких випадків не багато, але вони є і вони можливі. Це ще одна причина, чому не проводиться міжнародний аудит "ДіЯ". Хоча б один такий випадок мав би закриту повністю цю програму у країні, де є захист персональних даних. Чи навіть передумови до виникнення такої ситуації? В Естонії, коли виявили помилку, яка могла призвести до компрометації криптографічних чіпів в ID-паспортах, відкликали всі ці посвідчення особи. Вийшов прем'єр-міністр і сказав, що протягом двох тижнів ми будемо міняти вам паспорта, прийдіть, будь ласка, у відділення поліції. Так вони виявили таку вразливість, а не її реалізацію.

Не дарма ж в Україні і в усіх цивілізованих країнах світу, окремо є закон про захист персональних даних. Персональні дані – це така історія, яку треба захищати. Тут немає місця дискусіям. Пересічний громадянин скаже: "Ну і що? Держава і так все про мене знає". Та це від вузького бачення. Всі розумні люди в усіх країнах давно вже не сперечаються на цю тему. А не повинна все знати про тебе держава. Не повинна. Держава має знати лише той мінімум інформації, який потрібний для того, щоб тобі надати якісну державну послугу і не більше. Лише тоталітарні країни прагнуть того, щоб знати все про людину і, таким чином, контролювати її, впливати, позбавити її власної думки, прав, свободи. Якраз для цього в Європі вигадали GDPR (General Data Protection Regulation – нормативно-правовий акт ЄС щодо захисту персональних даних усіх осіб, – Ред.)

– Зважаючи на цей витік даних, що можна було б порадити українцям? Який мінімум необхідно зробити, щоб захистити себе в подальшому?

– Дві речі. Перша – за можливості не давати свої дані у якісь бази даних і реєстри. Я розумію, що це складно. Якщо тобі потрібна довідка, ти не можеш цього не дати. Але якщо є вибір давати чи не давати, то краще не давати. Тому що все тече і, зрештою, опиняється у продажу.

Друга річ – надавши свої персональні дані в державні реєстри, ви повністю втрачаєте над ними контроль. Ви автоматично їх довіряєте якимось невідомим державним чиновникам. Єдине, що ви можете в цій ситуації, вимагати від державних чиновників, які існують за наші з вами податки, звіту про заходи, які вжиті для захисту ваших персональних даних. Що вони робили чи не робили. Я розумію, що це складно і малореально, але це той мінімум, що доступний громадянину.