"Левые" кредиты, вредоносные программы и спам: эксперт по кибербезопасности о последствиях возможного "слива" данных из "ДіЯ"

На днях нардеп от "Слуги народа" Александр Федиенко сообщил о масштабном "сливе" базы с личными данными украинцев: серии паспортов, номера телефонов почты и прочее. "Черный" архив состоит из 20 миллионов строк под названием "diia_users_db_2025.zip." В Министерстве цифровой трансформации заверили, что никаких утечек из "ДіЯ" не было, а опубликованные файлы это смесь ранее известных "сливов" из коммерческих источников, которые вручную отредактировали и дополнили поддельными записями.

Действительно ли это так? Кому на "черном" рынке может понадобиться такая база и какие риски ожидают украинцев, если данные все же "свежие"? На эти вопросы в интервью "Телеграфу" ответил эксперт по кибербезопасности, бывший руководитель подразделения по борьбе с киберпреступностью в СБУ Константин Корсун.

- Константин, тот "слив" данных, который мы видели, это все-таки с "ДіЯ" или нет? Потому что в Минцифре уже заявили, что это "старые" данные из коммерческих источников, возможно, из каких-то финансовых учреждений. Как вы оцениваете?

- Два технических эксперта, независимо проанализировали эту утечку, и пришли к выводу, что это с "ДіЯ" и это именно "свежая" утечка, потому что там содержатся технические идентификаторы, которые есть только в "ДіЯ".

Плюс сочетание данных. Там же содержится не только номер, серия паспорта, где и когда он выдан. Мало где в централизованном виде такая информация собирается в общенациональном масштабе. Там же есть номер телефона и e-mail. А в "ДіЯ" без номера телефона вы не сможете зарегистрироваться. То есть ваш prepaid-номер (предоплаченной связи. — Ред. ) без контракта, анонимный, по факту деанонимизируется при регистрации в "ДіЯ". Происходит четкая привязка к вашему ФИО, дате, месту рождения с вашей фотографией, в том числе. В то же время, при регистрации в "ДіЯ" e-mail не обязателен, а опционален. Но! Если вы хотите каким-то образом взаимодействовать через интерфейс "ДіЯ" с государственными органами: получать какие-то справки, документы, то вам обязательно нужно указывать e-mail, на который эти справки и документы вам будут приходить. Потому e-mail придется указать. И в этой базе есть полные паспортные данные, телефонный номер и e-mail. Это полностью уничтожает конфиденциальность персональных данных, анонимность. Ваш e-mail и номер телефона с привязкой лично к вам – и вы как на ладони, прозрачны. И нет смысла спрашивать, а откуда мошенники знают мой номер телефона.

Сами номера телефонов, конечно, не секрет. Конкретно номера. Если у вас последние две цифры номера "44", то, наверное, есть и "43" и "42". А вот идентификация по номеру телефона с привязкой к конкретному человеку с ФИО и даже датой рождения это может быть только в государственных базах данных.

– Только в государственных?

– Это может быть и в коммерческих банках. Из банков "сливы" тоже встречаются. Но! Там такие вещи происходят гораздо реже, потому что там гораздо более жесткие условия. В банках, например, обязателен ежегодный аудит кибербезопасности независимой компанией. Если вы хотите сотрудничать с Visa или Mastercard (а без этого ни один банк не выживет), Visa или Mastercard требуют ежегодно у каждого банка проходить аудит независимой компанией по международным стандартам банковской кибербезопасности. Если этого нет, то у вас просто заберут лицензию и банк банкрот. У нас Минцифра что-нибудь подобное проходила? Нет. "ДіЯ" хоть раз проходила внешний независимый аудит? Никогда не проходила. Поэтому то, что сейчас [Минцифры] отрицают, это все только на словах. Верьте нам на слово и все.

– В чем проблема пройти "ДіЯ" такой аудит? Выявили недостатки, "прикрутили" что надо и все хорошо. Почему нет?

– В принципе, если бы это было честно, прозрачно, профессионально и грамотно, никаких проблем абсолютно. У нас есть "большая четверка" международных аудиторских компаний (Deloitte, PricewaterhouseCoopers, Ernst & Young, KPMG – Ред. ) в каждой из них есть очень мощный аудиторский блок по кибербезопасности. Они производят анализ кибербезопасности и дают свои выводы. Пригласите их. Да, они будут дорого стоить, но это будет абсолютно независимо, полностью комплексно, и их выводы уже никто не будет обжаловать, и я не буду обжаловать. Потому что репутация – это бизнес. Они не могут себе позволить взять какую-нибудь мелкую взятку у какой-то Украины и уничтожить по всему миру свой бизнес. Поэтому их выводы достаточно объективны. Но этого не делается. Возможные причины: будет разоблачено несоблюдение базовых ключевых принципов как по ИТ (архитектуре, построению, разработке приложений), так и безопасности.

Во-вторых, будет выявлен политический характер этой истории: гиперреклама, привлечение административных ресурсов, государственное принуждение устанавливать "ДіЯ". Последний случай – билеты на "Укрзалізницю". Нет "ДіЯ"? Никуда не едешь, сиди дома.

– Эта база данных, которая оказалась в сети, как будто продается за 4,5 тысячи долларов. Кому выгодно и кому нужно покупать эту базу за такие деньги? Я не думаю, что какие-то мелкие мошенники, которые из колоний звонят по телефону гражданам, будут тратить такие средства на эту базу. Тогда кто и зачем?

– На самом деле цена очень низкая и привлекательная. Подобные базы стоят 20, 30, 50, 100 тысяч долларов. И мошенники эти 4,5 тысячи долларов могут заработать через несколько дней. Многие люди ее купят, если убедятся, что она "жива".

– А она "жива"?

- Действительно, вопрос в том, настоящая ли она, или она "надута"? Сэмпл (пробник) могут показать классный, качественный, со "свеженькими" данными, а все остальное (как это часто бывает) будет шлаком. То есть набито нерелевантной информацией. И на "черном" рынке есть свои механизмы: через гаранта покупают, проверяют и так далее. Такая ли это база? Не знаю. Надо ее купить для начала, чтобы полностью проанализировать. Сейчас там 20 миллионов записей. На бесплатный сэмпл выставили один миллион. И то, что проанализирован, этот миллион, он точно из "ДіЯ". Возможно, там другая часть будет из других кусков, но тот миллион, который показали, на 95% из "ДіЯ". Там уникальный идентификатор и "свежие" данные.

Если ты купишь базу данных, то через год она будет уже неактуальна на 20%. Люди постоянно что-либо меняют: адреса, телефоны, места регистрации, фамилии. В этом специфика баз данных. Их нужно либо апдейтами постоянно докупать, либо "свежие" базы покупать, в зависимости от того, как быстро она меняется.

– Как именно такая база данных в руках мошенников может навредить человеку?

– В схемах мошенников такие базы очень важны. Особенно привязка конкретного человека к его телефону и e-mail. На e-mail будет приходить персонифицированный спам. Если вы хотите распространить вредоносное программное обеспечение, скажем, среди женщин, то вы не будете им отправлять рекламу удочек или автомобилей. Вам нужно знать, что владельцы этих номеров телефона именно женщины и им нужно присылать рекламу о якобы скидках в магазинах одежды, косметики и т.п. То есть персонифицировать информацию под определенный пол, возраст, регион. Поэтому мошеннику максимально важно держать эту базу "свежей". Какими-то номерами телефонов люди перестают пользоваться, а большинство украинских операторов, если от 6 до 12 месяцев вы не пользуетесь номером, его снова продают. Появился новый владелец номера и он указывает его в других базах: была молодая женщина, а стал мужчина почтенного возраста. Поэтому для "черного" бизнеса "свежие" базы очень важны.

– Ладно, а кредит на человека таким образом можно оформить, если данные в базе "свежие"?

– Здесь гораздо сложнее, но и очень выгодно. И наличие "свежих" персональных данных – это обязательная предпосылка [для таких мошеннических действий]. Есть специализированные группы, которые этим занимаются и для них очень важно иметь "свежие" данные.

Напомню последний случай: через "ДіЯ" оформили кредит на человека. Он уже давно не пользовался одним номером телефона и даже забыл, что у него был e-mail привязанный. Есть специальный сервис, где некоторые банковские работники продают нелегально информацию о пользователях, которые уже давно не пользуются в банке какими-то счетами. Ну многие из нас открывали счет в банке и он там до сих пор есть. Эту информацию продают мошенникам. Мошенники видят номер телефона, видят, что он не используется. Они выкупают этот телефонный номер у оператора. Все законно. И через этот номер телефона они восстанавливают аккаунт в банке от имени человека, который об этом ничего не знает. С помощью этого же номера телефона мошенники восстанавливают и старый e-mail: SMS-код на номер телефона присылают для восстановления. Таким образом, имея номер телефона, e-mail, аккаунт в банке, мошенники получают "ДіЯ", потому что это получается BankID. С точки зрения банка, все легально, законно и согласно законодательству. А получив "ДіЯ", банк не отказывает в выдаче кредита. И мошенники наберут эти кредиты, а человек через месяц об этом узнает, когда уже начнут коллекторы звонить по телефону.

Это сложная схема, таких случаев немного, но они есть и они возможны. Это еще одна причина, почему не проводится международный аудит "ДіЯ". Хотя бы один такой случай мог полностью закрытую эту программу в стране, где есть защита персональных данных. Или даже предпосылки для возникновения такой ситуации. В Эстонии, когда обнаружили ошибку, которая могла привести к компрометации криптографических чипов в ID-паспортах, отозвали все удостоверения личности. Вышел премьер-министр и сказал, что в течение двух недель мы будем менять вам паспорта, придите, пожалуйста, в отделение полиции. Так они лишь выявили такую уязвимость, а не ее реализацию.

Не зря же в Украине и во всех цивилизованных странах мира отдельно есть закон о защите персональных данных. Персональные данные – это такая история, которую нужно защищать. Здесь нет места дискуссиям. Рядовой гражданин скажет: "Ну и что? Государство и так все обо мне знает". И это от узкого видения. Все умные люди во всех странах уже давно не спорят на эту тему. А не должно все знать о тебе государство. Не должно. Государство должно знать только тот минимум информации, который нужен для того, чтобы предоставить тебе качественную государственную услугу и не больше. Только тоталитарные страны стремятся знать все о человеке и, таким образом, контролировать его, влиять, лишить его собственного мнения, прав, свободы. Именно для этого в Европе придумали GDPR (General Data Protection Regulation – нормативно-правовой акт ЕС по защите персональных данных всех лиц, – Ред. )

– Учитывая эту утечку данных, что можно было бы посоветовать украинцам? Какой минимум нужно сделать, чтобы защитить себя в дальнейшем?

– Две вещи. Первая – по возможности не давать свои данные в какие-либо базы данных и реестры. Я понимаю, что это сложно. Если тебе нужна справка, ты этого не можешь не дать. Но если есть выбор давать или не давать, лучше не давать. Потому что все течет и, наконец, оказывается в продаже.

Второе – предоставив свои персональные данные в государственные реестры, вы полностью теряете над ними контроль. Вы автоматически доверяете их каким-то неизвестным государственным чиновникам. Единственное, что вы можете в этой ситуации, требовать от государственных чиновников, существующих за наши с вами налоги, отчета о мерах, предпринятых для защиты ваших персональных данных. Что они делали или не делали? Я понимаю, что это сложно и малореально, но это тот минимум, что доступен гражданину.