Утекает QR-код, утекает

 

QR-код больше не персональный. Поздно вечером 25 января в даркнете («тёмным» интернете, с доступом в который Роскомнадзор упорно борется) появилось объявление о продаже базы QR-кодов россиян, переболевших коронавирусом или сделавших прививку. Информация на 150 гигабайтов была, по словам продавца, похищена из приложения «Госуслуги СТОП Коронавирус», которое Минцифры создало для контроля за распространением COVID-19. С помощью приложения можно было в одном месте хранить сертификаты о вакцинации, справки, ПЦР-тесты и анкеты для прибывающих из-за границы.

«Новая газета» выяснила, кому чем грозит очередной слив данных россиян. Левенцовка Ру ознакомились с исследованием

Что утекло, сколько, почём продают

В своем объявлении продавец базы представил потенциальным покупателям ее образец: только в нем содержится 10 тысяч строк, в каждой из которых — инициалы, первые две цифры серии и последние три цифры номера паспорта, дата рождения, уникальный номер регистровой записи пациента, название вакцины и закодированный в Base64 QR-код в формате PNG со сроком действия.

Всего же, утверждает обладатель базы, у него есть 48 миллионов таких записей. Расстаться с таким массивом данных продавец готов не меньше чем за 100 тысяч долларов.

Где опасность, и в чём возможность?

Михаил Климарев, директор Общества защиты интернета, считает, что паниковать из-за очередного слива базы не стоит, однако все равно ничего хорошего в этом нет.

-Мы крайне осуждаем тех, кто торгует данными, пусть и обезличенными. Но не все так страшно, как кажется. Утекло на самом деле не так много. Да, это все-таки персональные данные. Но хорошо, что создателям приложения один добрый человек подсказал, что не надо публиковать полностью фамилию, ведь в слитой базе только первые буквы. Так что информация утекла не полностью.

Однако, утверждает эксперт, база может послужить дополнительным инструментом для мошенников, которые могут воспользоваться информацией о QR-кодах в корыстных целях.

-Если у мошенника есть другие украденные базы данных с сайта Госуслуг (ими тоже торгуют на черном рынке), то он может сопоставить две базы. Таким образом, он получит список людей с QR-кодами и сроками их действия. Вот возможность для шантажа людей без прививок. Особенно это опасно для пожилых людей, которых, например, могут обзванивать и уведомлять о якобы выписанном штрафе за отсутствие прививки. Они придумают, там все талантливые. Могут обзванивать и тех, у кого истек сертификат. Эта база определенно может быть использована для мошенничества, — говорит Климарев.

Кроме того, у слива может быть еще один побочный эффект: утечка может стать дополнительным аргументом для противников вакцинации и QR-кодов.

Само собой, сейчас все антиваксеры будут вопить, что все утекло и поэтому не нужно — никому получать QR-коды, — добавляет эксперт.

В Минцифры всё спокойно

После публикации объявления Минцифры объявило о начале собственной проверки. Позже в министерстве сообщили, что «угроз для безопасности личных данных пользователей приложения нет». Ситуацию прокомментировали и в «Ростелекоме»: там и вовсе заявили, что данные из базы — недействительные.

-Опубликованные данные были сгенерированы вне системы и не имеют отношения к действующей базе пользователей приложения, — заявили в компании.

Создатели телеграмм-канала «Утечки информации», на это ответили, их что выборочная проверка показала-  QR-коды все-таки действительны и ведут на сайт Госуслуг. Данные, представленные в образце продавца базы, полностью совпадают с тем, что указано на официальной странице проверки QR-кодов. При этом аналогичная проверка «Ростелекома», естественно, показала обратное.

Эксперт Климарев объясняет, что разработчики, очевидно, успели сгенерировать QR-коды заново.

Данные недействительны, потому что они просто сбросили все эти QR-коды. Ведь QR-код генерируется сам по себе, это ссылка. Все ссылки, вероятно, после утечки изменили в этом приложении. Вроде все нормально, но на самом деле утечка случилась, и виновные должны понести ответственность, — отмечает он.

Кто виноват?

О возможной утечке данных россиян было известно уже давно: еще в августе одно издание – иногагент обнаружило уязвимость на сайте Госуслуг.

Именно она могла стать причиной недавнего слива данных. Редакция того издания сообщала о проблеме «Ростелекому» и направляла информацию в пресс-службу Минцифры, однако ответа не получила (видимо, решили, что клевещут- иноагент ведь).

То, что эта база утечет, было просто вопросом времени. Данные со всех государственных ресурсов рано или поздно утекают. Сейчас, кстати, делается такой кибер-реестр, куда будут сливаться вообще все данные россиян: там будут объединена вся информация. И этот мегареестр тоже утечет. Уверен, что это произойдет в течение года после его создания, — говорит Климарев.

Эксперт считает, что причиной утечки может быть как человеческий фактор, так и уязвимость системы. Вариантов немного: либо кто-то из сотрудников ее продал, либо кто-то допустил халатность и вовремя не увидел уязвимость.

Однако, предполагает Климарев, виновные вряд ли понесут ответственность за случившееся.

Коммерческие организации регулярно получают штрафы за нарушения закона о персональных данных. Однако мы ни разу не слышали, чтобы кого-то из госструктур наказали. Наказаний, санкций для чиновников нет.

 

поделиться

Один комментарий к записи “Утекает QR-код, утекает

  1. Нужно находить этих мошенников и поступать с ними как в военное, расстреливать без суда и следствия тогда другим неповадно будет распоряжаться судьбами россиян.

Добавить комментарий