Все пропало, шефе... Масштабний злив персональних даних з порталу Дія стався вночі 22 січня 2022

Вчора вночі сталася майже техногенна катастрофа: найбільший злив персональних даних за всю історію України з порталу Дія, майже 30 гігабайт даних про громадян України.
На форумі raidforums-крапка-com дехто FreeCivillian («ВільнийЦивільний») за якихось 15 000 доларів пропонує до продажу базу під назвою Ukrainian Leaks 2022: diia.gov.ua
Як видно з назви, база позиціонується як злита з різних державних установ, але перша частина – з порталу Дія (service-diia-gov-ua).  

Весь дамп поділяється на три бази даних:

1. ПІБ, телефон/стать/ІПН/дані паспорта/дані ID-картки/дані закордонного паспорта – 2,6 мільйона записів. У якості пробніка викладено 100 тисяч записів.

2. Зображення (низької якості) паспорту, ID-картки, водійського посвідчення, військових квитків, дипломів та сертифікатів - 13,5 мільйонів. У якості пробника викладено 190 тисяч файлів.

3. Розширена інформація про громадян України, у тому числі їхні документи – 4.1 мільйона записів. У якості пробніка викладено 200 тисяч записів.

Деякі фахівці скачали та перевірили семпли (пробніки) і за більшістю ознак схоже на те, що це дійсно база з порталу Дія. Дані свіжі, дані актуальні. Найсвіжіший запис датований 15 грудня 2021 – три тижні тому.
На портал Дія як джерело витоку вказують також деякі технічні моменти з дампів (детальніше при них шукайте коментах під дописом Шона нашого Таунсенда.

У травні 2020 був великий скандал під умовною назвою «злив Дубінського», коли однойменний нардеп стверджував, що з бази Дії витекло 26 млн. водійських посвідчень. Тоді дуже швидко з'ясувалося, що ель-шкандаль від зе-депутата - доволі штучний та більше схожий на внутрішньо-політичну боротьбу всередині правлячій партії. Насправді тоді потекла не Дія, а до продажу пропонувалися старі неактуальні бази, наскирдовані з різних помийок, з вкрапленнями актуальних даних. Що не завадило «дієвим» розгорнути масштабну пропагандистську кампанію псевдо-боротьби з продажем баз даних: по всій країні було проведено кілька десятків обшуків та затримань рядових продавців різних баз даних, який майже усіх скоро відпустили.

Зараз же тривога не навчальна. Дані дійсно виглядають як злиті з порталу Дія.
Тому що весь проект Дія – він відпочатку був не технологічним, а політичний. Кінцевою метою якого є загнати в Дію якомога більше громадян (різними способами) та провести «правильні» вибори у смарфоні, під контролем «дієвих».
А оскільки справді кваліфікованих фахівців серед розробників Дії майже немає – великий інцидент був лише питанням часу. Про що неодноразово попереджали справді кваліфіковані фахівці.
Сказати чесно, особисто я до останнього не вірив у можливість от прям «зливу бази даних Дії». Вони там тупуваті та безграмотні, але ж не настільки. Має ж у них бути інстинкт самозбереження. Я навіть вірив, що таки дійсно, постійно дані в Дії не зберігаються, а Дія є дійсно лише транзитом, блискучим «краніком» між базами/реєстрами та смартфоном користувача.
А от настільки. Немає інстинкту. Нуль професіоналізму. Зіро здорового ґлузду.
Є тільки особиста відданість «справі Федорова та Зеленського». Все інше – «роль кібербезпеки перебільшена», «ми всіх звільнили і все працювало», “по факту навести якісь реальні кейси кіберзагроз мало хто може».
Пане Федоров, ось цей кейс, наприклад – він достатньо переконливий? Інформативність норм? Роль кібербезпеки все ще перебільшена? І кого тепер треба звільняти?Цікаво, що першими повідомили про продаж бази Дії «кібер-комсомольці Банкової» - неформальна група хакерів DC8044, яка періодично допомагає владі та кіберполіції робити речі, які не можна робити офіційній владі. Групу створив та таємно очолює чинний керівник ІТ-Департаменту Офісу Президента України. Зовсім не здивуюся, якщо до зливу виявляться причетні не тільки «русько-хакери», але і конкуруючі сили всередині зе-партії.Також цікава хронологія подій.
14 січня 2022 відбулася кібератака на ряд державних ресурсів, у тому числі на портал Дія.
На деяких ресурсах кібер-злочинці (ймовірно прокремлівські) розмістили картинку, на якій, серед іншого, було написано, що «усі ваші особисті дані було завантажені у загальну мережу».
Схоже, що у цьому моменті кібер-бандити не обдурили.
Роботу порталу Дія не могли відновити більше 5 днів. А як тільки нарешті відновили – почався продаж зливу даних з порталу. Біда за бідою. Ну просто співпало.Вагную, що «дієві» та влада загалом (включно з зе-депутатами) почнуть виправдовуватися у стилі «Кремль намагається розхитати довіри народу до влади, це гібридна агресія», ігноруючи той факт, що довіри ніколи особливо не було.
Так, більшість кібератак спрямовані дійсно більше на мізки населення, ніж завдати якоїсь матеріальної шкоди. Викликати злість, розчарування, обурення. Усе ті емоції, які викликає у мене бурхлива діяльність вчорашніх SMM-ників у відношенні кібербезпеки країни та безвідповідальне жонглювання персональними даними громадян.
А для викликання негативних емоцій особливо не потрібні ворожі кібератаки: «мертве не може вмерти» (С), влада сама чудово справляється з недовірою до себе.
І Дія була їхнім останнім бастіоном: красивенька, зручненька, всі яйця в одному кошику – цифрова така барсетка. Піплу подобаєть. А ще через Дію можна отримати сертифікат та «вовину тисячу». Класно ж?
А все більше випадків «кредиту через Дію» ми назвемо фейками, «ви все брешете», «при чому тут Дія».
Схоже, тепер і цей бастіон рухнув.
Якщо раніше про численні серйозні недоліки Дії говорили виключно фахівці, то тепер в її безпеці засумніваються найвідданіші фанати.Що буде далі?
Скоріш за все, «дієві» реагуватимуть за наступним сценарієм:

• - Вони (тобто всі) все брешуть. Ніякого зливу не було.

• - Ладно, злив був, але база не актуальна, це компіляція.

• - Ладно, база  актуальна, але вона не з Дії.

• - Дія взагалі не зберігає персональні дані, це просто неможливо!

• - Ладно, можливо, але зливу не було, мамой клянусь.

• - Ну і шо такого, це ж відкриті дані.

• - Мороз.

• - Кримінальні справи та обшуки у тих, хто повідомив про злив.

Звісно, буде ще одне потужне засідання РНБО, з нудними, але дуже правильними словами про «підсилити» та «покращити».
“… агресивні дії у кіберпросторі можуть мати на меті «дискредитацію усіх надбань у галузі цифрової трансформації нашої держави” – знов скаже нам Секретар РНБО.
Ага, давайте ще одне засідання проведіть, ще раз «наголосіть на доцільності», це точно допоможе.
Відомий провладний блогер знов напише «це все фейк», «ну так а шо такого, роль кібербезпеки дійсно перебільшена, ось вам дослідження», «не можна звинувачувати жертву, не слухайте тих, хто звинувачує» та «щоб бути ефективним, краще приєднатися до влади, ніж протидіяти ній».
Окреме завдання буде для спецагента Вискуба: писати болгарською у мордокнижці тисячі коментарів «вивсьовртоті, єто брєд», «ви там всі алкоголіки та придурки» і побігти подавати на всіх в суд.
Найстрашніше у всій цій ситуації те, не має жодного значення як особисто ти ставився до Дії: любив чи ненавидів, не радив чи рекомендував друзям, підозрював у прихованому стеженні чи сміявся над «параноїками». Свідомо реєструвався в Дії чи принципово відмовлявся. Вже видалили чи ніколи не встановлювали.
Дія усіх нас, хто має закордонний паспорт з чіпом або ID-картку, - примусово знапастила, без нашого дозволу та відома.
А тепер усі дані усіх прихильників та противників Дії – злито, і наш ворог точно їх має.
Усі любителі та хейтери Дії - в одному човні, який швидко йде на дно.Сьогодні я не буду розказувати «що робити» або «як рятуватися» - я вже сто разів розказував.
Для початку відтягніть від влади федорово-вискубів, відмініть закон «про прирівняння е-документів до справжніх» та визнайте повний провал «експерименту» – лише тоді можна почати про щось говорити та думати як вирулювати з тієї діри, в яку нас затягли інфантильні жижиталізатори з айкосами.
Але (вкотре і втомлено) закликаю подивитися на проблему ширше, глибше та вище: у країні не існує національної кібербезпеки, взагалі. Існує лише її імітація, симуляція, причому за великі гроші та за «підтримки західних донорів», яким вигідно тримати Україну у штучні й комі у якості кібер-полігону для дослідження росіянських методів ведення кібер-війни.
Чинна модель національної кібербезпеки, в основі якої закладена «провідна роль держави»  (я начальник – ти дурак) – не працює, від слова «ніяк».
Несіть нову.
Що значить «немає»? Шо, правда?

Константин Корсун

Експерт з кібербезпеки. У 2000-2005 роках Костянтин працював заступником керівника відділу боротьби з комп’ютерною злочинністю при Департаменті контррозвідки СБУ, а пізніше – одним із засновником та першим керівником CERT-UA. Після звільненні зі служби Костянтин працював директором українського офісу міжнародної кібербезпекової компанії iSIGHT Partners (тепер є частиною FireEye), пізніше співпрацював з Symantec Corp. у якості незалежного постачальника послуг Threat Intelligence. Наразі Костянтин є співзасновником та виконавчим директором міжнародної кібербезпекової компанії з головним офісом в Україні. Пан Костянтин є активним членом української кібер-спільноти, пропагуючи ідеї розвитку індустрії кібербезпеки в українському суспільстві.