Утечка из "Дія" настоящая: эксперты доказали, что портал хранит данные украинцев

Портал государственных услуг "Дія" хранит данные пользователей, которые и были "слиты" в результате кибератаки 14 января. К такому выводу пришли представители "Гильдии IT-Специалистов", которые представили результаты исследования на своем сайте.

По словам экспертов, утечка произошла в результате кражи извне. В пользу этой версии свидетельствует содержание и разнородность опубликованных данных. Одновременная диверсия является маловероятной, ведь системы, откуда получена информация, обслуживают разные специалисты.

Исследователи подчеркнули, что "Дія" представляет из себя экосистему, состоящую из нескольких ресурсов, в том числе информационный сайт, портал госуслуг и мобильное приложение. Они собирают информацию из реестров различных ведомств и отображают пользователям на экранах их устройств. "Наиболее вероятен такой алгоритм: вся информация, все данные граждан Украины хранятся в реестрах, а "Дія" только изменяет их или отображает", — пишут эксперты. Однако утверждать они не берутся, "ведь любая достоверная информация от разработчиков касательно исходного кода и архитектуры остается недоступной".

"Есть нюанс. Для технологических нужд (принцип работы современных высоконагруженных сайтов) необходима промежуточная, временная база (буфер обмена, кэш), расположенная на стороне инфраструктуры портала "Дія". В этой базе временно хранятся запросы и ответы из реестров – что-то вроде буфера обмена при копировании информации на компьютере и мобильном телефоне. Вот с этой промежуточной базы и произошла утечка", — утверждает "Гильдия".

Перехватив запросы из браузера (обычная процедура при тестировании сайта), эксперты обнаружили, что портал при создании заявок, которые подтверждаются цифровой подписью, сохраняет файлы, которые прилагаются к заявке, и подпись, и то, что именно было подписано.

Вот так выглядит запись об операции:

public.signatures (id, file_id, signed_data, signature, certificate, meta, created_by, updated_by, created_at, updated_at).

Как объяснили авторы исследования, signed_data содержит названия и хэши файлов, а также файлы формата .json, которые фиксируют большое количество данных о заявке пользователя, подгруженных в момент ее создания. К примеру, при составлении заявки на закрытие ФЛП подписывается .json с информацией из единого государственного реестра: паспортные данные, дата регистрации, КВЭДы, а заявка на "єМалятко", к примеру, содержит паспортные данные родителей, имя ребенка.

"Дія" также требует загрузки сканов паспортов и трудовых книжек, — например, для заявки на пособие по безработице. В утечке, выложенной неизвестным хакером, наполнение и название слитых файлов очень похожи. Полного совпадения может не быть потому, что в промежуточной базе она сохраняется в более расширенном виде — или злоумышленник пытался добавить туда еще данные, которые "Дія" не запрашивает (например, пустое поле Пароли), чтобы напугать или запутать аналитиков", — отметили специалисты.

Они добавили, что в "слитой" базе содержатся данные из "экзотических" реестров вроде "єМалятко", содержащих набор данных, которые можно получить только по запросам на портале, объединяющем в себе государственные услуги и требующим доступа к разным реестрам Украины — ФЛП, "єМалятко", реестр строительной деятельности и т.д.

При входе и авторизации пользователя, портал "Дія" автоматически генерирует два параметра – User ID и JWT токен, которые предоставляются пользователям портала и неразрывно связаны между собой.

Поясним. JWT токен (JSON Web Token) — токен доступа, создаваемый сервером и подписываемый секретным ключом. Такой токен передается пользователю, чтобы он мог в дальнейшем подтверждать свою личность с его помощью.

User ID — персональный идентификатор, хранящий информацию о конкретном пользователе (ФИО, номер мобильного, email), а также его историю взаимодействий с порталом.

В "слитой" базе есть параметр JWT. Несколько пользователей в ходе исследования нашли в опубликованных файлах свои параметры JWT, зашли на портал и смогли увидеть свой секретный параметр User ID. Таким образом они убедились, что утекшие данные — настоящие.

"Такое добавить намеренно невозможно. Это бесспорный факт. Субъективными доказательствами реальности утечки из портала "Дія" является подтверждение граждан Украины, которые нашли себя в слитой базе самостоятельно. Время запросов в утечке совпадает со временем использования ими портала", — подчеркнула "Гильдия IT-Специалистов" и предложила провести публичное расследование инцидента.

Ранее стало известно, что хакер "слил" персональные данные миллионов украинцев на форуме RaidForum, в том числе имена и номера телефонов. Он выставил файлы на продажу за $15 тыс.

26 января сооснователь ОО "Украинский Кибер Альянс" Андрей Баранович заявил, "слитые" данные из "Дії" являются настоящими и свежими. По его словам, хакерам во время кибератаки в ночь с 13 на 14 января удалось украсть информацию из "Дії" и "Кабинета водителя".