В Telegram-каналах и СМИ появилась информация о новом «сливе» данных, якобы принадлежащих пользователям Госуслуг. На этот раз речь шла о дампе размером 2,5 млн записей, который якобы был «третьим фрагментом базы Госуслуг». В пресс-службе компании «Ростелеком», которая занимается эксплуатацией и развитием инфраструктуры электронного правительства, включая портал Госуслуг, эту информацию опровергают.
Напомню, что о первых двух утечках данных (1, 2), якобы принадлежащих пользователям Госуслуг (5000 и 2000 строк), ранее в этом месяце сообщали специалисты Data Leakage & Breach Intelligence (DLBI). Более того, вчера исследователи писали и о третьем «сливе», который представлял собой фрагмент той же базы и содержал 22 222 записи.
По данным аналитиков DLBI, эта информация, вероятно, была получена «благодаря» перебору идентификаторов пользователей Единой Системе Идентификации и Аутентификации (ЕСИА). Эксперты напоминали, что в конце прошлого года стало известно о сливе исходных кодов Регионального портала госуслуг Пензенской области, и в этих исходниках обнаружились ключам к сертификатам, которые используются для доступа к ЕСИА.
Все три дампа содержали следующие данные:
- ФИО;
- email-адреса;
- телефоны;
- пол;
- даты рождения;
- адреса регистрации и фактического места жительства;
- паспорта (серия, номер, кем и когда выдан);
- СНИЛС;
- ИНН.
При этом после первого же инцидента представители Минцифры опровергли информацию об утечке личных данных пользователей Госуслуг. В ведомстве ситуацию прокомментировали так:
«Опровергаем информацию об утечке данных с Госуслуг. В сети появился фрагмент якобы базы данных пользователей Госуслуг, содержащий 5 тыс. записей. Мы проверили этот файл и выяснили, что в нем нет того набора параметров, которые обязательно присутствуют в стандартных учетных записях Госуслуг. Учетные данные пользователей портала (логины и пароли) не были скомпрометированы, информация надежно защищена.
По данным службы безопасности, эта база относится к одной из внешних онлайн-систем, использующих упрощенную идентификацию пользователей через Госуслуги. Эта система не имеет прямого доступа к полному набору данных пользователей».
Однако вчера на хакерских форумах и Telegram-каналах и вовсе появилась информация о дампе размером 2,5 млн записей, который якобы являлся «третьим фрагментом базы Госуслуг».
Сообщалось, что за этой утечкой стоят «те же проукраинские хакеры», при этом 2,5 млн записей были лишь пробником большей базы, которую злоумышленники выставили на продажу за 15 000 долларов США.
Представители компании «Ростелеком», которая занимается эксплуатацией и развитием инфраструктуры электронного правительства, включая портал Госуслуг, уже завили, что эта утечка является фейком.
«Так же как и файл, о котором были сообщения 11 октября 2022 года, база не содержит набора параметров, которые обязательно присутствуют в стандартных учетных записях Госуслуг. Вместе с тем, в базе присутствует ряд идентификаторов, которые в Госуслугах не содержатся: наименование информационной системы, данные о статусе проверки паспорта гражданина и ряд других. Значит, эти данные не могли быть выгружены из информационных систем портала», — сообщили в компании.
Эксперты также отметили, что часть информации в базе, включая дату выгрузки, была изменена вручную, чтобы создать впечатление постоянного доступа злоумышленников в систему. Тогда как реальная дата утечки – 24 января 2021 года.
«Результаты расследования дают основания для вывода, что источником утечки стала система, в которой указанные данные собираются от пользователей самостоятельно. Технические детали инцидента 11 октября позволяют предположить, что это могут быть ресурсы "Почты России"», — заявили в пресс-службе «Ростелекома».
В компании заверили, что инцидент не затронул безопасность данных пользователей портала Госуслуг, так как их логины и пароли не были скомпрометированы. Кроме того у подавляющего большинства аккаунтов из базы подключена двухфакторная аутентификация, а это «исключает возможность взлома этих учетных записей с помощью автоматического перебора паролей».