Сьогодні Міністерство цифрової трансформації опинилось у центрі скандалу з витоком особистих даних українців. Їх продають через Telegram –боти. Мінцифри звинувачення відкидає.

Що сталось?

Наприкінці квітня в месенджері Telegram з’явились два боти, що дозволяють за номером телефона дізнатись особисті користувача: номер і серію паспорту, дані реєстрації за місцем проживання, номер платника податків. Бот під назвою «Досьє» був заблокований майже одразу, проте канал UA Baza продовжував працювати до 12 травня. 11 травня в нього додали базу водійських прав разом з фотографіями. На каналі повідомлялось, що три дні ця інформація буде доступна безкоштовно, а потім її можна буде придбати за $500.

Хто винен?

Хто і звідки отримав особисту інформацію українців, наразі невідомо. Служба безпеки України вже розпочала розслідування. Міністр цифрової трансформації Михайло Федоров стверджує, що з додатку «Дія» вкрасти такі дані «неможливо навіть теоретично».

За його словами, «Дія» не має власної бази даних і не накопичує інформацію: мобільний застосунок лише відображає інформацію з інших реєстрів. Крім того, кількість інформації в базі шахраїв значно перевищує масштаби, з якими працює «Дія». Так, анонімні творці UA Baza Bot стверджують, що мають дані 26 млн водійських посвідчень, хоча в Україні їх всього 9,5 млн, а в додатку «Дія» доступні лише 6,5 млн.

Що таке «Дія»?

Мобільний додаток «Дія», який вже скачали понад три мільйони користувачів, з’явився на початку лютого. Також на початку квітня запрацював однойменний веб-портал. «Дія» є частиною проекту «держава в смартфоні» Міністерства цифрової трансформації України, який має перевести в онлайн-режим отримання державних послуг (відкриття і закриття ФОП, отримання довідок, оформлення допомоги з безробіття тощо). Крім того, під час карантину був запущений сервіс «Дій вдома» для нагляду за громадянами на самоізоляції та обсервації.

«Попередній аналіз інформації боту свідчить про використання старих баз даних, які вже не один рік доступні в Даркнеті. Зокрема, мова йде про базу даних ПриватБанку (до націоналізації), а також інших приватних (не державних) баз даних. Наприклад, в боті доступні паролі від Вконтакте, Linkedin», —  написав Федоров у Facebook.

Голова громадської організації «Електронна демократія» Володимир Фльонц підозрює, що інформація могла бути взята, зокрема, із Єдиного державного демографічного реєстру, де зберігається відцифровані фотографії для біометричних паспортів. 

«Мені показало не тільки паспортні дані, мої старі паролі (старі, але на той момент дійсні!), але і дані біометричних паспортів (разом з фото) і водійське посвідчення, про яке я навіть не здогадувався. Навіть «Дія» його не показує”,  — поділився Фльонц своїм досвідом використання бота.

Що цьому передувало?

В кінці квітня в месенджері Telegram з’явилося два бота, за допомогою яких можна купити персональні дані українських користувачів. Перший —  канал UA Baza, другий — вже заблокований канал під назвою «Досьє».

В «Досьє» за номером телефону можна було знайти ПІБ, дату народження, серію і номер паспорта користувача, а також його реєстрацію за місцем проживання та номер платника податків. За попередніми даними, бот використовував стару вкрадену базу  «ПриватБанку».

«Ми виявили цей чат-бот 23 квітня і подали заяву в поліцію для відкриття кримінального провадження. Також ми в черговий раз звернулися до клієнтів з попередженням про небезпеку передачі особистих даних в подібних шахрайських ботах. Нам невідомі джерела даних у таких шахраїв, ми сподіваємося з’ясувати їх за допомогою правоохоронних органів», — повідомили в прес-службі банку.