У ніч із 13 на 14 січня сталася масштабна кібератака на урядові сайти, яка охопила 70 ресурсів та стала найпотужнішою за останні чотири роки. Зокрема постраждали офіційні сайти Міністерств закордонних справ, Міністерства освіти і науки, Кабміну, а також сайт «Дія». Після цього інциденту Мінцифра виступила з офіційною заявою та запевняла, що витоку персональних даних українців з баз даних «Дія» не відбулося. Однак на одному з хакерських форумів з’явилася публікація, яка спростовує заяву Мінцифри.
Новий користувач форуму опублікував запис про продаж бази персональних даних громадян України. Він заявляє, що володіє базами даних кількох державних відомств. Першою він виставив на продаж базу даних сервісу diia.gov.ua. Вона містить відомості про ПІБ, адресу електронної пошти, дату народження, номер телефону, стать, індивідуальний податковий номер, дані паспорту або ID-карти, закордонного паспорта. База налічує близько 2,6 млн записів. Продавець пропонує можливість ознайомитися з невеличким фрагментом бази даних, який містить відомості про 100 тис. користувачів «Дії».
Редакція ITC.UA перевірила інформацію з цього фрагменту та зв’язалася з деякими людьми, вказаними в ньому. Вони підтвердили правдивість деяких відомостей з бази даних (щонайменше, телефони та ПІБ збігаються), але зі зрозумілих причин не хотіли надавати підтвердження всієї інформації про себе. Судячи з наявної інформації, база даних містить інформацію, додану в тому числі наприкінці 2021 року.
Додатково повідомляється про наявність у витоку й інших даних. У якості прикладу продавець пропонує ознайомитися із закодованими (base64) JPG-файлами низької якості паспортів, ID-карток, водійських посвідчень, військових квитків, дипломів та сертифікатів тощо. Також пропонується фрагмент із вмістом поля signed_data в форматі JSON з розширеною інформацією про громадян, у тому числі їх документи.
Продавець хоче отримати за базу даних $15 тис. Надалі він також планує виставити на продаж бази даних інших державних установ України: health.mia.software, minregion.gov.ua, wanted.mvs.gov.ua, e-driver.hsc.gov.ua та court.gov.ua.
***
В Україні у ніч із 13 на 14 січня сталася масштабна кібератака на урядові сайти, яка охопила 70 урядових сайтів та стала найпотужнішою за останні чотири роки. Внаслідок кібератаки на урядові сайти з-поміж інших постраждали сервіси МТСБУ, що своєю чергою призвело до призупинення продажу електронних полісів автоцивілки (ОСЦПВ). Разом з тим у Держспецзв’язку стверджують, що інформація з баз даних МТСБУ не втрачена. Судячи з наявної інформації, реєстр вже відновив свою роботу.
За попередніми даними слідства, до кібератаки на урядові сайти може бути причетне угруповання UNC1151, яке пов’язують зі спецслужбами Білорусі. Водночас в СБУ раніше повідомили про виявлення окремих ознак причетності до інциденту хакерських груп, пов’язаних зі спецслужбами РФ. 16 січня Міністерство цифрової трансформації також заявило, що наразі всі докази свідчать про те, що кібератаку на державні сайти України організувала Росія.
Доповнено, позиція Мінцифри:
Оголошення про продаж «злитих» даних українців внаслідок кібератаки є провокацією та продовженням гібридної війни
Україна продовжує захищатися у гібрідній війні. Основна мета ворога — підірвати довіру до влади фейками про вразливість критичної інформаційної інфраструктури та «злив» даних українців. Про це тиждень тому вже повідомляв Центр стратегічних комунікацій та інформаційної безпеки.
Починаючи з минулих вихідних в інтернеті постійно з’являються оголошення щодо продажу даних нібито отриманих під час кібератаки, що відбулася з 13 на 14 січня. У тому числі багато оголошень стосується продажу бази даних Дії. Такі оголошення мають на меті не тільки залякати суспільство. А ще й дестабілізувати ситуацію в Україні, зупинивши роботу державного сектору.
Нагадаємо, що користувачами мобільного застосунку Дія є 13,5 млн українців. Він не зберігає персональних даних, а лише відображає те, що зберігається про них у відповідних державних реєстрах. Відвідувачами порталу Дія є понад 13 млн українців, а не 2 млн як зазначається в оголошеннях.
Закликаємо українців не піддаватися паніці. Усі персональні дані перебувають під надійним захистом у держреєстрах. А оголошення про можливість купити дані, отримані після злому 14 січня, є аферою: шахраї продають старі дані, що скомплектовані з багатьох джерел, які були злиті до 2019 року.
Зараз українські кіберспеціалісти мають об’єднатися, щоб протистояти загрозі та нейтралізувати противника.