Слили всех. Почему большой инцидент с приложением "Дія" был лишь вопросом времени
Действующая модель национальной кибербезопасности, в основе которой заложена "ведущая роль государства" (я начальник — ты дурак) — не работает, от слова "никак". Несите новую.
От редакции. Минцифры называет сообщения о ЧП с порталом "Дія" и масштабном сливе персональных данных намеренной провокацией врагов Украины и частью гибридной войны. Цель провокации, утверждают в ведомстве, — подорвать доверие к власти, запугать общество, "дестабилизировать ситуацию в Украине, остановив работу государственного сектора". В министерстве уверяют, что утечки не произошло и ситуация полностью под контролем: "Все персональные данные находятся под надежной защитой в госреестрах. А объявление о возможности купить данные, полученные после взлома 14 января, является аферой: мошенники продают старые данные, скомплектованные из многих источников, слитых до 2019 года". Однако специалисты по кибербезопасности — и, в частности, автор этой колонки, придерживаются другого мнения.
В ночь на 22 января произошла почти техногенная катастрофа: самый большой слив персональных данных за всю историю Украины с портала "Дія", почти 30 гигабайт данных о гражданах Украины.
На форуме raidforums-точка-com некий FreeCivillian ("Свободный Гражданин") за каких-то 15 000 долларов выставил на продажу базу под названием Ukrainian Leaks 2022: diia.gov.ua
Как видно из названия, база позиционируется как слитная из разных государственных учреждений, но первая часть – с портала "Дія" (service-diia-gov-ua).
Весь дамп делится на три базы данных:
- ФИО, телефон/пол/ИНН/данные паспорта/данные ID-карты/данные загранпаспорта – 2,6 миллиона записей. В качестве пробника изложено 100 тысяч записей.
- Изображение (низкого качества) паспорта, ID-карты, водительского удостоверения, военных билетов, дипломов и сертификатов – 13,5 миллионов. В качестве пробника выложено 190 тысяч файлов.
- Расширенная информация о гражданах Украины, в том числе их документы – 4,1 миллиона записей. В качестве пробника изложено 200 тысяч записей.
Некоторые специалисты скачали и проверили сэмплы (пробники) и по большинству признаков похоже на то, что это действительно база из портала "Дія". Данные свежие, данные актуальны. Самая свежая запись датирована 15 декабря 2021 года – три недели назад.
На портал "Дія" как источник утечки указывают также некоторые технические моменты с дампов (подробнее про них ищите комментарии под сообщением Шона https://cutt.ly/1ILrwYZ).
В мае 2020 г. случился большой скандал под условным названием "слив Дубинского", когда одноименный нардеп утверждал, что из базы "Дія" произошла утечка 26 млн водительских удостоверений. Тогда очень быстро выяснилось, что эль-шкандаль от зе-депутата довольно искусственный и больше похож на внутриполитическую борьбу внутри правящей партии. На самом деле тогда потекла не "Дія", а для продажи предлагались старые неактуальные базы, наскирдованные с разных помоек, с вкраплениями актуальных данных. Что не помешало "дієвим" развернуть масштабную пропагандистскую кампанию псевдо-борьбы с продажей баз данных: по всей стране было проведено несколько десятков обысков и задержаний рядовых продавцов разных баз данных, почти всех скоро отпустили.
Сейчас тревога не учебная. Данные действительно выглядят как слитые с портала "Дія".
Потому что весь проект "Дія" – он изначально был не технологическим, а политическим. Конечной целью которого является загнать в "Дія" как можно больше граждан (разными способами) и провести "правильные" выборы в смарфоне, под контролем "дієвих".
А поскольку действительно квалифицированных специалистов среди разработчиков "Дія" почти нет – большой инцидент был лишь вопросом времени. О чем неоднократно предупреждали квалифицированные специалисты.
Сказать честно, лично я до последнего не верил в возможность вот прямо "слива базы данных "Дія". Они там туповатые и безграмотные, но не настолько же. Должен же у них быть инстинкт самосохранения.
Я даже верил, что действительно, постоянно данные в "Дія" не хранятся, а "Дія" является действительно только транзитом, блестящим "краником" между базами/реестрами и смартфоном пользователя.
А вот настолько. Нет инстинкта. Ноль профессионализма. Зиро здравого смысла.
Есть только личная преданность "делу Федорова и Зеленского". Все остальное – "роль кибербезопасности преувеличена", "мы всех уволили и все работало", "по факту привести какие-то реальные кейсы киберугроз мало кто может".
Господин Федоров, вот этот кейс, например, он достаточно убедителен? Информативность норм? Роль кибербезопасности все еще преувеличена? И кого теперь нужно увольнять?
Интересно, что первыми сообщили о продаже базы "Дія" "кибер-комсомольцы Банковой" — неформальная группа хакеров DC8044, которая периодически помогает властям и киберполиции делать вещи, которые нельзя делать официальным властям. Группу создал и тайно возглавляет действующий руководитель ИТ-департамента Офиса президента Украины. Совершенно не удивлюсь, если к сливу окажутся причастны не только "русско-хакеры", но и конкурирующие силы внутри зе-партии.
Также увлекательна хронология событий.
14 января 2022 года состоялась кибератака на ряд государственных ресурсов, в том числе на портал "Дія".
На некоторых ресурсах кибер-преступники разместили картинку, на которой среди прочего было написано, что "все ваши личные данные были загружены в общую сеть".
Похоже, что в этот момент кибер-бандиты не обманули.
ВажноРаботу портала "Дія" не могли восстановить больше 5 дней. А как только наконец-то восстановили – началась продажа слива данных с портала. Беда за бедой. Ну просто совпало.
Вангую, что "дієві" и власть в целом (включая зе-депутатов) начнут оправдываться в стиле "Кремль пытается расшатать доверия народа к власти, это гибридная агрессия", игнорируя тот факт, что доверия никогда особо не было.
Да, большинство кибератак направлено действительно больше на мозги населения, чем на то, чтобы нанести какой-то материальный ущерб. Вызвать злобу, разочарование, возмущение. Все те эмоции, которые вызывает у меня бурная деятельность вчерашних SMM-щиков по отношению к кибербезопасности страны и безответственное жонглирование персональными данными граждан.
А для вызова негативных эмоций вражеские кибератаки не особенно нужны: "мертвое не может умереть" (С), власть сама прекрасно справляется с недоверием к себе.
И "Дія" была их последним бастионом: красивенькая, удобная, все яйца в одной корзине – цифровая такая барсетка. Пиплу нравится. А еще через "Дія" можно получить сертификат и "вовину тысячу". Классно ведь?
А все больше случаев "кредита через "Дія" мы назовем фейками, "вы все врете", "при чем здесь "Дія".
Похоже, теперь и этот бастион рухнул.
Если раньше о многочисленных серьезных недостатках "Дія" говорили исключительно специалисты, то теперь в ее безопасности усомневаются самые преданные фанаты.
Что будет дальше?
Скорее всего, "дієві" будут реагировать по следующему сценарию:
- Они (т.е. все) все врут. Никакого слива не было.
- Ладно, слив был, но база не актуальна, это компиляция.
- Ладно, база актуальна, но она не из "Дія".
- "Дія" вообще не хранит персональные данные, это просто невозможно!
- Ладно, возможно, но слива не было, мамой клянусь.
- Ну и что такого, это же открытые данные.
- Мороз.
- Уголовные дела и обыски у сообщивших о сливе.
Конечно, будет еще одно мощное заседание СНБО со скучными, но очень правильными словами про "усилить" и "улучшить".
"… агрессивные действия в киберпространстве могут преследовать "дискредитацию всех достижений в области цифровой трансформации нашего государства", – снова скажет нам секретарь СНБО.
Ага, давайте, еще одно заседание проведите, еще раз "подчеркните целесообразность", это точно поможет.
Известный провластный блоггер снова напишет "это все фейк", "ну да, а что такого, роль кибербезопасности действительно преувеличена, вот вам исследование", "нельзя винить жертву, не слушайте тех, кто обвиняет" и "чтобы быть эффективным, лучше присоединиться к власти, чем ей противостоять".
Отдельное задание будет для спецагента Выскуба: писать по-болгарски в мордокнижке тысячи комментариев "вы все врете, это бред", "вы там все алкоголики и придурки" и побежать подавать на всех в суд.
ВажноСамое страшное во всей этой ситуации то, что не имеет никакого значения, как лично ты относился к "Дія": любил или ненавидел, не советовал или рекомендовал друзьям, подозревал в скрытой слежке или смеялся над "параноиками". Сознательно регистрировался в "Дія" или принципиально отказывался. Уже удалили или никогда не устанавливали.
"Дія" всех нас, имеющих загранпаспорт с чипом или ID-карту, — принудительно подставила, без нашего разрешения и уведомления.
А теперь все данные всех сторонников и противников "Дія" слиты, и наш враг точно их имеет.
Все любители и хейтеры "Дія" — в одной лодке, которая быстро идет ко дну.
Сегодня я не буду рассказывать "что делать" или "как спасаться" — я уже сто раз рассказывал.
Для начала оттащите от власти федорово-выскубов, отмените закон "о приравнивании е-документов к настоящим" и признайте полный провал "эксперимента" — только тогда можно начать о чем-то говорить и думать, как выруливать из той дыры, в которую нас затащили инфантильные жижитализаторы с айкосами.
Но (в который раз и устало) призываю посмотреть на проблему шире, глубже и выше: в стране не существует национальной кибербезопасности вообще. Существует только ее имитация, симуляция, причем за большие деньги и "при поддержке западных доноров", которым выгодно держать Украину в искусственной коме в качестве кибер-полигона для исследования российских методов ведения кибер-войны.
Действующая модель национальной кибербезопасности, в основе которой заложена "ведущая роль государства" (я начальник – ты дурак) – не работает, от слова "никак".
Несите новую.
Что значит "нет"? Что, правда?