Витік із "Дія" справжній: експерти довели, що портал зберігає дані українців

Портал державних послуг "Дія" зберігає дані користувачів, які були "злиті" в результаті кібератаки 14 січня. Такого висновку дійшли представники "Гільдії IT-Фахівців", які представили результати дослідження на своєму сайті.

За словами експертів, витік стався внаслідок крадіжки ззовні. На користь цієї версії свідчить зміст та різнорідність опублікованих даних. Одночасна диверсія є малоймовірною, адже системи, звідки отримали інформацію, обслуговують різні фахівці.

Дослідники наголосили, що "Дія" є екосистемою, що складається з декількох ресурсів, зокрема з інформаційного сайту, порталу держпослуг і мобільного додатку. Вони збирають інформацію з реєстрів різних відомств та показують користувачам на екранах пристроїв. "Найімовірніший такий алгоритм: вся інформація, всі дані громадян України зберігаються в реєстрах, а "Дія" лише змінює їх або показує", — пишуть експерти. Проте стверджувати вони не беруться, "бо будь-яка правдива інформація від розробників щодо вихідного коду та архітектури залишається недоступною".

"Є нюанс. Для технологічних потреб (принцип роботи сучасних високонавантажених сайтів) необхідна проміжна, тимчасова база (буфер обміну, кеш), розташована на боці інфраструктури порталу "Дія". У цій базі тимчасово зберігаються запити та відповіді з реєстрів — щось на зразок буфера обміну для копіювання інформації на комп'ютері та мобільному телефоні. Ось із цієї проміжної бази й стався витік", — стверджує "Гільдія".

Перехопивши запити з браузера (звичайна процедура під час тестування сайту), експерти виявили, що портал, створюючи заявки, які підтверджує цифровий підпис, зберігає файли, що додаються до заявки, і підпис, і те, що саме підписали.

Ось так виглядає запис про операцію:

public.signatures (id, file_id, signed_data, signature, certificate, meta, created_by, updated_by, created_at, updated_at).

Як пояснили автори дослідження, signed_data містить назви та хеші файлів, а також файли формату .json, які фіксують велику кількість даних про заявку користувача, підвантажених у момент її створення. Наприклад, складаючи заявку на закриття ФОП, підписують .json з інформацією з єдиного державного реєстру: паспортні дані, дата реєстрації, КВЕД, а заявка на "єМалятко", наприклад, містить паспортні дані батьків, ім'я дитини.

"Дія" також вимагає завантаження сканів паспортів та трудових книжок, — наприклад, для заявки на допомогу з безробіттям. У витоку, який виклав невідомий хакер, наповнення та назва злитих файлів дуже схожі. Повного збігу може не бути тому, що в проміжній базі вона зберігається у розширенішому вигляді — або зловмисник намагався додати туди ще дані, які "Дія" не запитує (наприклад, порожнє поле Паролі), щоб налякати чи заплутати аналітиків", — зазначили фахівці.

Вони додали, що в "злитій" базі містяться дані з "екзотичних" реєстрів на кшталт "єМалятко", які містять набір даних, які можна отримати лише за запитами на порталі, що об'єднує в собі державні послуги та потребує доступ до різних реєстрів України — ФОП, "єМалятко", реєстр будівельної діяльності тощо.

Під час входу та авторизації користувача портал "Дія" автоматично генерує два параметри — User ID і JWT токен, які надають користувачам порталу і які нерозривно пов'язані між собою.

Пояснимо. JWT токен (JSON Web Token) — токен доступу, який створює сервер і підписує секретний ключ. Такий токен передають користувачеві, щоб він міг надалі підтверджувати свою особу за його допомогою.

User ID — персональний ідентифікатор, що зберігає інформацію про конкретного користувача (ПІБ, номер мобільного, email), а також його історію взаємодій з порталом.

У "злитій" базі є параметр JWT. Декілька користувачів під час дослідження знайшли в опублікованих файлах свої параметри JWT, зайшли на портал і змогли побачити свій секретний параметр User ID. Так вони переконалися, що злиті дані — справжні.

"Таке додати навмисне неможливо. Це безперечний факт. Суб'єктивними доказами реальності витоку з порталу "Дія" є підтвердження громадян України, які знайшли себе в злитій базі самостійно. Час запитів у витоку збігається з часом використання ними порталу", — наголосила "Гільдія IT- Фахівців" і запропонувала провести публічне розслідування інциденту.

Раніше стало відомо, що хакер "злив" персональні дані мільйонів українців на форумі RaidForum, зокрема імена та номери телефонів. Він виставив файли на продаж за $15 тис.

26 січня співзасновник ГО "Український Кібер Альянс" Андрій Баранович заявив, що "злиті" дані з "Дії" є справжніми та свіжими. За його словами, хакерам під час кібератаки в ніч з 13 на 14 січня вдалося вкрасти інформацію з "Дії" та "Кабінету водія".