"13 млн записів українців не можуть коштувати $15 тис." — Держспецзв'язку про "злив" Дії

Дія
Фото: Колаж Фокуса | Мобільний додаток "Дія"

Заступник голови відомства заявив, що жоден розпорядник баз даних поки не повідомляв про витік інформації, тому фахівці не можуть перевірити її достовірність.

Державна служба спеціального зв'язку та захисту інформації України досі не з'ясувала, чи вдалося зловмисникам зламати державну програму "Дія". Про це в інтерв'ю виданню Mind повідомив заступник голови відомства Віктор Жора.

На зустрічі з членами Європейської бізнес-асоціації чиновник заявив, що однією з цілей хакерської атаки на 14 січня було викрадення або знищення державних баз даних. Держспецзв'язку поки що не отримала жодного повідомлення про злив або крадіжку персональної інформації від розпорядників інформаційних систем, а тому не може займатися розслідуванням.

"Все це спробували представити як комерційну історію: нібито хакери хочуть заробити на базах. Але, за мірками чорного ринку, виставили за них смішні гроші. База даних, як декларується, з 13 млн записів не може коштувати $15 тис", — підкреслив Віктор Жора.

За його словами, розпорядники систем мають перевірити дані, які опинилися у відкритому доступі. За попередніми висновками, опубліковані для попереднього перегляду фрагменти зібрані з даних, що були "злиті" раніше. Їх могли отримати як із державних баз, так і з банківської системи.

"Наразі те, що відбувається, має всі ознаки маніпуляції. Водночас не знімає питання, чи справді там є частина справжніх даних", — додав Віктор Жора.

Заступник глави розповів в інтерв'ю, що без первинних файлів Держспецзв'язку не може встановити автентичність опублікованих даних. Наразі розслідуванням займаються правоохоронні органи. Як зазначив Віктор Жора, за безпеку конфіденційних даних відповідає уповноважений Верховної Ради з прав людини — цю посаду зараз обіймає Людмила Денисова. Самі українці, які виявили витік такої інформації, можуть написати заяву до кіберполіції.

"У мене на телефоні стоять фінансові програми трьох банків, через які можна вкрасти реальні гроші. Думаю, це набагато серйозніший ризик, ніж установка "Дії" з документами. Якщо хтось доведе, що зламав цей мобільний додаток – отримає 1 млн грн", — нагадав Віктор Жора про конкурс Мінцифри.

22 січня невідомий виклав на форумі базу даних, яка містить персональні дані мільйонів українців. На продаж за $15 тисяч виставили базу, яка містить номери телефонів, ІПН, паспортні дані, імена та інше.

Експерт з кібербезпеки Андрій Баранович заявив, що злита база містить справжні та свіжі дані з "Дії" з великою ймовірністю. Про це свідчить схожа структура у прев'ю документів.

Раніше писали, що Мінцифри оголосило про багбаунті на 1 мільйон гривень за злом "Дії". Влітку 2021 року програмістам запропонували виявляти баги у копії державного порталу, яку розмістили на платформі Bugcrowd. Програма розпочалася 3 серпня та триватиме півроку.