DLBI: в открытый доступ выложен новый файл с 37,5 тыс. строк с ПД пользователей из, якобы, базы портала «Госуслуги»
По информации Telegram-канала «Утечки информации», в открытый доступ выложен новый файл с 37,5 тыс. строк с персональными данными пользователей из, якобы, базы портала «Госуслуги».
Эксперты сервиса поиска утечек и мониторинга даркнета DLBI рассказали, что выложенная третья часть данных была получена, предположительно, перебором идентификаторов пользователей из Единой Системы Идентификации и Аутентификации (ЕСИА) портала «Госуслуги», с использованием ранее утекших сертификатов из региональных информационных систем.
В DLBI уточнили, что в новой выложенной базе 37 578 строк, содержащие такие данные пользователей, как ФИО, ИНН, СНИЛС, номер телефона, адрес эл. почты, пол, дата рождения, адрес регистрации и фактического места жительства, паспорт (серия, номер, кем и когда выдан), серия и номер водительского удостоверения (не для всех), марка, серия/номер свидетельства о регистрации и госномер автотранспортного средства (не для всех).
Согласно данным из выгрузки, даты обновления записей в утечке значатся 6 июня 2014 года по 30 ноября 2022 года. Почти половина всех записей, включая данные автотранспортных средств, относятся к пользователям из Пензенской области.
11 октября Минцифры опровергло утечку данных пользователей портала «Госуслуги» после того, как профильные Telegram-каналы сообщили, что в открытый доступ был выложен файл с 5 тыс. строк с персональными данными пользователей из базы портала «Госуслуги», включая такие данные пользователей, как ФИО, ИНН, СНИЛС, номер телефона и другие.
«Опровергаем информацию об утечке данных с Госуслуг. В сети появился фрагмент якобы базы данных пользователей Госуслуг, содержащий 5 тыс. записей. Мы проверили этот файл и выяснили, что в нём нет того набора параметров, которые обязательно присутствуют в стандартных учётных записях Госуслуг. Учётные данные пользователей портала (логины и пароли) не были скомпрометированы, информация надежно защищена.По данным службы безопасности, эта база относится к одной из внешних онлайн-систем, использующих упрощённую идентификацию пользователей через Госуслуги. Эта система не имеет прямого доступа к полному набору данных пользователей»,
— сообщили в Минцифры.
16 октября в открытый доступ был выложен файл с 2 тыс. строк с персональными данными пользователей из, якобы, базы портала «Госуслуги».
18 октября в открытый доступ был опубликован ещё один новый файл с 22 тыс. строк с ПД пользователей из, якобы, базы портала «Госуслуги».
Также хакеры выставили на продажу за $15 тыс. файл с 2,5 млн строк с ПД пользователей базы портала «Госуслуги». Эксперты считают, что доверия к словам хакеров по поводу объёма утечки нет, так как, теоретически, они могли слить эту базу из какого-то стороннего сервиса, который подключается к Единой Системе Идентификации и Аутентификации (ЕСИА) портала «Госуслуги».
Представители разработчиков сервиса Госуслуги со стороны «Ростелекома» опровергли утечку данных пользователей «Госуслуг» и так прокомментировали эту утечку:
Как указали в Telegram-канале «Нецифровая экономика», это официальное пояснение от команды «Ростелекома», занимающейся «Госуслугами»:На хакерских ресурсах появилась база из 2,5 млн записей, которую кибермошенники продают как «третий фрагмент базы Госуслуг». Эксперты «Ростелекома» провели техническое расследование и установили, что база не имеет отношения к порталу Госуслуг.
Также как и файл, о котором были сообщения 11 октября 2022 года, база не содержит набора параметров, которые обязательно присутствуют в стандартных учётных записях Госуслуг. Вместе с тем в базе присутствует ряд идентификаторов, которые в Госуслугах не содержатся: наименование информационной системы, данные о статусе проверки паспорта гражданина и ряд других. Значит, эти данные не могли быть выгружены из информационных систем портала.
Эксперты также отмечают, что часть информации в базе, включая дату выгрузки, изменена вручную, чтобы создать впечатление постоянного доступа злоумышленников в систему. При этом, судя по документу, реальная дата утечки — 24 января 2021 года.
Результаты расследования дают основания для вывода, что источником утечки стала система, в которой указанные данные собираются от пользователей самостоятельно. Технические детали инцидента 11 октября позволяют предположить, что это могут быть ресурсы «Почты России».
Инцидент не затронул безопасность данных пользователей Госуслуг: их логины и пароли не были скомпрометированы. Кроме того, у подавляющего большинства аккаунтов из базы подключена двухфакторная аутентификация для входа на портал Госуслуг. Это исключает возможность взлома этих учётных записей с помощью автоматического перебора паролей.
Однако эксперты «Ростелекома» обращают внимание, что любые, даже фейковые, сообщения об утечке могут спровоцировать всплеск мошенничества. Никогда не следует сообщать личную информацию (логины, пароли, пин-коды и т.д.) незнакомым лицам, кем бы они не представлялись, а также нельзя открывать сомнительные ссылки и вложения в письмах.
Всем пользователям портала госуслуг рекомендуется подключить двухфакторную идентификацию с использованием одноразового кода, который поступает на личное устройство, что исключит риски несанкционированного доступа.
Основатель сервиса поиска утечек и мониторинга даркнета DLBI Ашот Оганесян пояснил для Хабра, что вышеописанные уточнения по поводу агрегации данных из июньской утечки «Почты России» тут не совсем уместны, так как в том инциденте в открытый доступ не попали ИНН, СНИЛС и паспортные данные пользователей.
