Поздно вечером 25 января в даркнете появилось объявление о продаже базы QR-кодов россиян, переболевших коронавирусом или сделавших прививку. Информация на 150 гигабайтов была, по словам продавца, похищена из приложения «Госуслуги СТОП Коронавирус», которое Минцифры создало для контроля за распространением COVID-19. С помощью приложения можно было в одном месте хранить сертификаты о вакцинации, справки, ПЦР-тесты и анкеты для прибывающих из-за границы прямо с телефона. «Новая» выяснила, чем грозит очередной слив данных россиян.
В своем объявлении продавец базы представил потенциальным покупателям ее образец: только в нем содержится 10 тысяч строк, в каждой из которых — инициалы, первые две цифры серии и последние три цифры номера паспорта, дата рождения, уникальный номер регистровой записи пациента, название вакцины и закодированный в Base64 QR-код в формате PNG со сроком действия.
Скриншот объявления из телеграм-канала «Утечки информации»
Всего же, утверждает обладатель базы, у него есть 48 миллионов таких записей. Расстаться с таким массивом данных продавец готов не меньше чем за 100 тысяч долларов.
Михаил Климарев, директор Общества защиты интернета, считает, что паниковать из-за очередного слива базы не стоит, однако все равно ничего хорошего в этом нет.
«Мы крайне осуждаем тех, кто торгует данными, пусть и обезличенными. Но не все так страшно, как кажется. Утекло на самом деле не так много. Да, это все-таки персональные данные. Но хорошо, что создателям приложения один добрый человек подсказал, что не надо публиковать полностью фамилию, ведь в слитой базе только первые буквы. Так что информация утекла не полностью».
Однако, утверждает эксперт, база может послужить дополнительным инструментом для мошенников, которые могут воспользоваться информацией о QR-кодах в корыстных целях.
«Если у мошенника есть другие украденные базы данных с сайта Госуслуг (ими тоже торгуют на черном рынке), то он может сопоставить две базы. Таким образом, он получит список людей с QR-кодами и сроками их действия. Вот возможность для шантажа людей без прививок. Особенно это опасно для пожилых людей, которых, например, могут обзванивать и уведомлять о якобы выписанном штрафе за отсутствие прививки. Они придумают, там все талантливые. Могут обзванивать и тех, у кого истек сертификат. Эта база определенно может быть использована для мошенничества», — говорит Климарев.
Кроме того, у слива может быть еще один побочный эффект: утечка может стать дополнительным аргументом для противников вакцинации и QR-кодов.
«Само собой, сейчас все антиваксеры будут вопить, что все утекло и поэтому не нужно никому получать QR-коды», — добавляет эксперт.
После публикации объявления Минцифры объявило о начале собственной проверки. Позже в министерстве сообщили, что «угроз для безопасности личных данных пользователей приложения нет». Ситуацию прокомментировали и в «Ростелекоме»: там и вовсе заявили, что данные из базы — недействительные. «Опубликованные данные были сгенерированы вне системы и не имеют отношения к действующей базе пользователей приложения», — заявили в компании.
Создатели телеграм-канала «Утечки информации» утверждают, что выборочная проверка показала, что QR-коды все-таки действительны и ведут на сайт Госуслуг. Данные, представленные в образце продавца базы, полностью совпадают с тем, что указано на официальной странице проверки QR-кодов. При этом аналогичная проверка «Ростелекома» показала обратное.
Фото: РИА Новости
Эксперт Климарев объясняет, что разработчики, очевидно, успели сгенерировать QR-коды заново.
«Данные недействительны, потому что они просто сбросили все эти QR-коды. Ведь QR-код генерируется сам по себе, это ссылка. Все ссылки, вероятно, после утечки изменили в этом приложении. Вроде все нормально, но на самом деле утечка случилась, и виновные должны понести ответственность», — отмечает он.
О возможной утечке данных россиян было известно уже давно: еще в августе издание «Медиазона» (Минюст внес его в реестр СМИ, выполняющих функцию «иностранного агента») обнаружило уязвимость на сайте Госуслуг. Именно она могла стать причиной недавнего слива данных. Редакция сообщала о проблеме «Ростелекому» и направляла информацию в пресс-службу Минцифры, однако ответа не получила.
«То, что эта база утечет, было просто вопросом времени. Данные со всех государственных ресурсов рано или поздно утекают. Сейчас, кстати, делается такой кибер-реестр, куда будут сливаться вообще все данные россиян: там будут объединена вся информация. И этот мегареестр тоже утечет. Уверен, что это произойдет в течение года после его создания», — говорит Климарев.
Этим летом Владимир Путин подписал закон о создании единого реестра сведений о гражданах. Эта база будет содержать Ф.И.О., дату и место рождения, пол, СНИЛС, ИНН, гражданство и семейное положение гражданина РФ. Вести ресурс будет Федеральная налоговая служба на основании имеющихся у нее данных, а также данных МВД, Минобороны, Минобрнауки, государственных внебюджетных фондов. По словам властей, единая база нужна для стратегического, экономического и социального планирования.
Фото: РИА Новости
Эксперт считает, что причиной утечки может быть как человеческий фактор, так и уязвимость системы. Вариантов немного: либо кто-то из сотрудников ее продал, либо кто-то допустил халатность и вовремя не увидел уязвимость.
Однако, предполагает Климарев, виновные вряд ли понесут ответственность за случившееся.
«Коммерческие организации регулярно получают штрафы за нарушения закона о персональных данных. Однако мы ни разу не слышали, чтобы кого-то из госструктур наказали. Наказаний, санкций для чиновников нет».
{{subtitle}}
{{/subtitle}}