У Telegram продають дані мільйонів українців. СБУ почала розслідування
12 травня 2020
12.05.2020

З 11 на 12 травня через Telegram-бот відбувся масштабний “злив” даних українців. Загалом у базі понад 26 мільйонів водійських посвідчень. Про це повідомив Володимир Фльонц, голова ГО “Електронна Демократія”, який виявив у Telegram-боті і свої персональні дані.

Telegram-бот містить не лише дані водійських посвідчень і паспортів, а й дані біометричних паспортів включно з фото, паролями, даними з держреєстрів, “Нової пошти”. Голова ГО “Електронна Демократія” Володимир Фльонц також попередив, що перевіряючи у Telegram-боті свої дані, ви ділитеся з авторами бази інформацією про себе.

Користувачі припускають, що інформація у нелегальну базу потрапила через додаток “Дія”. Міністр цифрової трансформації Михайло Федоров спростував це.

“Одразу активно почали розповсюджуватися фейки, що ця інформація пов’язана з роботою застосунку Дія. Це неможливо навіть теоретично! По-перше і головне, Дія не має бази даних і не накопичує таку інформацію. По-друге, кількість інформації, яка доступна у зазначеному боті набагато, в десятки, а то й сотні разів, перебільшує ту, з якою працює Дія”, — пояснює міністр.

Федоров також додав, що бот використовує старі бази даних, які вже тривалий час доступні у darknet. Так, у нелегальній базі є дані ПриватБанку до націоналізації, а також паролі від Вконтакте, Linkedin.

Власники Telegram-бота заявили, що об’єднали дані з різних баз, в тому числі з базами, якими поділився автор ще одного анонімного Telegram-каналу "Тайны депутата". Автори бота пропонують купити дані, мінімальна ціна починається від 50$.

Служба безпеки України почала розслідування роботи Telegram-боту, повідомив Федоров.

Директор ДП "ProZorro" Василь Задворний заявив, що такий масштабний злив даних — це виклик для Міністерства цифрової трансформації. На його думку, Україна має недостатньо захищену архітектуру ІТ сервісів державного рівня і проблема накопичувалася роками, і буде вирішуватися ще стільки ж.

“Відкрита чесна комунікація та взаємодія з приватним сектором і активістами — чи не єдиний шанс не програти. Громадянам же треба бути готовим, що приватність померла. Повернути її на попередній рівень буде дуже непросто”,— вважає Задворний.

Експерт Школи цифрової безпеки DSS380 Павло Бєлоусов вважає, що в такій ситуації держава має провести незалежний аудит реєстрів та доступів до них, аудит додатків та іншого програмного забезпечення, яке задіяне в роботі баз даних, виправити наявні проблеми та впровадити сучасні засоби захисту інформації.

“Скоріше за все, ці дані — мікс з різних баз даних, які були й раніше злиті, не тільки державні, а й приватні (банки, поштові оператори тощо). Чи причетна «Дія»? Точно сказати важко, оскільки дані різні. Хтось каже про застарілі дані, які відрізняються від тих, що підтягнула «Дія», інші кажуть, що співпадають. Я би не виключав і «Дію» (в тому чи іншому вигляді). Але, це й не так важливо, саме «Дія» це, або ні. Це держава, яка має про нас максимум інформації. Тож це держава не забезпечила належний та контрольований доступ до даних про нас. Тому й до неї питання”, — коментує Павло Бєлоусов.

Нагадаємо, Євген Захаров, голова правління Української Гельсінської спілки та директор Харківської правозахисної групи, заявив, що додаток Міністерства цифрової трансформації “Дія” порушує право користувачів на захист персональних даних та приватність спілкування.