Про це розповів народний депутат Володимир Ар’єв в етері Радіо Свобода, а також коментував можливий злив даних у своєму фейсбуці.
У комітеті Верховної Ради України з питань цифрової трансформації запропонували покликати на засідання очільника Мінцифри Михайла Федорова щодо можливого витоку даних українців. Водночас у відомстві пояснили, що масовий “злив” персональної інформації неможливий. За словами парламентаря, він запропонував надіслати запрошення голові комітету, але не володіє інформацією, чи було це зрештою реалізовано.
Така пропозиція виникла на тлі оголошення Федеральним бюро розслідувань США у розшук росіянина Аміна Стігала, якого підозрюють у зламі українських державних сайтів у січні 2022 року. Як зазначає видання, унаслідок атаки дані більш ніж 13 мільйонів українців після ймовірного зламу порталу “Дія” були нібито розміщені для продажу в інтернеті. За словами Ар’єва, зараз необхідне розслідування щодо цього.
Якщо просто відповідати про те, що там злито напевно зі старих реєстрів чи взято невідомо звідки, це не відповідь. Тут потрібне серйозне внутрішнє розслідування для того, щоби встановити всі канали злиття даних: чи це “Дія”, чи це було в обхід, чи це комплексна робота хакерів, яких розшукують США
Ар’єв вважає, що “держава не провела жодного серйозного розслідування», і що в Україні розслідування кіберзлочинів перебувають «на досить низькому рівні”.
То чи був витік даних з “Дії”
Водночас перший заступник міністра цифрової трансформації Олексій Вискуб повідомив Радіо Свобода, що масовий витік даних українців неможливий, а нібито “злиті” 13 мільйонів даних — це компіляція різних баз даних, що були «злиті» набагато раніше з приватних компаній.
Він також пояснив, що в “Дії” не накопичуються персональні дані, а лише відображаються дані користувачів з відповідних реєстрів, що унеможливлює масовий витік. Окрім того, відомство працює над безпекою застосунку. Так, аудити та конкурси не виявляли критичних вразливостей системи, стверджує Вискуб.
По-перше, Дія побудована за принципом data in transit. Це означає, що в Дії не накопичуються персональні дані, а лише відображаються дані користувачів з відповідних реєстрів, що унеможливлює масовий витік даних як такий. По-друге, ми постійно працюємо над безпекою застосунку шляхом проведення різноманітних аудитів та конкурсів для хакерів (bug bounty). Ці аудити і конкурси не виявляли критичних вразливостей системи.
Однак експерт з кібербезпеки Костянтин Корсун також висловлює думку, що застосунок “Дія” було зламано у січні 2022 року. Хакери змогли підібрати “підкопи” через підрядників, з якими тоді працювала команда застосунку.
