19 декабря эксперты Data Leakage & Breach Intelligence (DLBI) сообщили, что проукраинские хакеры опубликовали уже пятый по счету дамп на 1 067 034 строк с информацией, якобы полученной из Единой Системы Идентификации и Аутентификации (ЕСИА) «Госуслуг».

Напомню, что ранее сообщалось уже о четырех похожих случаях. Об этих инцидентах (123, 4) так же писали эксперты DLBI, и тогда речь шла о дампах размером 5000, 2000, 22 000, 37 500 и даже 2,5 млн строк. Факт этих утечек опровергали в Минцифры и «Ростелекоме».

Теперь в DLBI рассказывают, что на этот раз текстовый файл с 1 067 034 строками датирован периодом с 01.01.2022 по 30.11.2022 и содержит:

  • ФИО;
  • Email-адреса (около 890 000 уникальных адресов);
  • Телефоны (около 1 млн уникальных номеров);
  • пол;
  • даты рождения;
  • адреса;
  • паспорта (серия, номер, кем и когда выдан);
  • ИНН.

«Насколько источник этой информации соответствует заявленному, мы сказать не можем, но то, что сами выложенные хакерами данные реальные — можно утверждать с очень высокой долей вероятности (выборочная проверка случайных записей это подтверждает), несмотря на все опровержения в СМИ различных структур», — писали специалисты в своем Telegram-канале.

После публикации информации об этой утечке, глава Минцифры Максут Шадаев заявил СМИ, что утечка собрана из старых данных, ранее уже попадавших в сеть:

«Это опять база "Почты России", та утечка, которая в четвертый раз под этим видом [новой утечки] выдается. Компиляция [данных]. Это точно абсолютно».

Также в Минцифры заявили, что «информация об утечке с Госуслуг – фейк», а специалисты Ростелекома, которые отвечают за безопасность портала «Госуслуг», уже проверили опубликованный файл и пришли к выводу, что «он не имеет отношения к Госуслугам»

«В нем [в файле] нет тех параметров, которые обязательно есть в настоящих учетных записях. Проще говоря, это очередная компиляция, выданная за результат взлома, — сообщал официальный Telegram-канал ведомства. — Это старая утечка с одного из сторонних порталов. Портал использует вход через Единую систему идентификации и аутентификации (ЕСИА), а для пользователей это выглядит как “вход через Госуслуги”, но без ввода логина и пароля. Система получает от ЕСИА подтверждение личности и разрешает вход на портал, однако не имеет прямого доступа к набору данных пользователя».

В ответ на это специалисты DLBI писали, что некоторое время назад в сеть действительно «слили» часть базы данных предположительно принадлежащей «Почте России». Однако, сравнив два дампа, специалисты пришли к выводу, что новые данные точно не связаны с публичными утечками «Почты России».

Сегодня, 20 декабря 2022 года, в Telegram-канале Минцифры и вовсе появился «​​отчет об анализе цикла выгрузок информации в украинских телеграм-каналах, относящихся к данным “Почты России”», произведенный специалистами «Ростелеком-Солар».

В отчете, который ниже мы цитируем полностью, сообщается, что новая утечка данных произошла из одной из информационных систем АО «Почта России». Несовпадение с другими утечками «Почты России», ранее опубликованными в открытом доступе, эксперты объясняют тем, что этот «слив» относится «к другой информационной системе почтового оператора, не появлявшейся ранее в публичном поле».

Отчет об анализе цикла выгрузок информации в украинских Telegram-каналах, относящихся к данным «Почты России»

19.12.2022 в 10:17 в телеграм-канале DumpForums выложен файл (esia.097.csv), содержащий 1 миллион строк и следующие данные:

  1. Наименование информационной системы (ЕСИА)
  2. Токен
  3. Дата
  4. Наименование информационной системы (erl-portal)
  5. ФИО
  6. Пол
  7. Дата рождения
  8. СНИЛС
  9. ИНН
  10. Адрес
  11. Паспортные данные
  12. Статус проверки паспорта (предположительно)
  13. E-mail
  14. Телефон
  15. OID ЕСИА (идентификатор пользователя в базе ЕСИА)

Это стало очередной публикацией так называемой утечки из ЕСИА, первая из которых была выложена 11.10.2022 в том же телеграм-канале. После этого было осуществлено последовательное малое дополнение утечки в 3 итерации до общего объема данных около 30 тысяч строк и две большие выгрузки, выставленные на различных форумах – публикация от 18 октября, содержащая более 2,5 миллионов строк, и от 19 декабря, описанная выше в отчете. Совокупный объем опубликованной уникальной информации на текущий момент превышает 3 млн строк. Даты на записях в файле явным образом перебиты (не совпадают между утечками и не совпадают с датой формирования части данных внутри систем) с целью продемонстрировать актуальность полученной базы, поэтому на текущий момент дата утечки атрибутируется во вторую половину 2021 года.

Поскольку речь идет о персональных данных, в выгрузке отсутствуют пароли или хэши паролей и по существенной части учетных записей включен второй фактор, версия по получения данной информации из системы ЕСИА посредством брутфорс (перебора паролей) считается технически невозможной.

В результате проверки установлено:

1. Источником утечки информации не являются информационные системы ИЭП, в том числе ЕПГУ(ЕСИА):

a.     Информация о проверке паспорта в указанном виде не содержится в БД ЕСИА;

b.     OID ЕСИА содержится лишь в небольшой части строк. Значения OID остальных строк не содержат данных;

c.      Несмотря на то, что OID действительно используется в рамках взаимодействия между компонентами ЕПГУ и некоторыми внешними системами, в частности СМЭВ, эта утечка не является утечкой из ЕСИА, поскольку в последней отсутствуют данные о статусе проверки паспорта (п12). OID ЕСИА могли оказаться в наборе данных вследствие утечки из сторонней системы, взаимодействующей со СМЭВ;

d.     Наименование информационной системы (erl-portal) отсутствует в данных БД ЕСИА и иных БД ЕПГУ.

2. Согласно проведенной аналитике, утечка произошла из одной из информационных систем АО «Почта России»:

a.     Выгрузка данных по запросам согласий на передачу данных показала, что подавляющее количество указанных OID давали согласие на передачу данных из ЕСИА в адрес ИС «Почты России» (ввиду отсутствия историчности данных, на момент проверки часть пользователей могли отозвать свое согласие на передачу данных в сторону «Почты России»).

b.     В справочниках по ВС СМЭВ выявлено несколько ресурсов на стороне «Почты России» для межведомственного взаимодействия, имеющих название, схожее по написанию с указанной в файле информационной системой erl-portal.

c.      Структура данных совпадает с передаваемой со стороны Госуслуг в сторону «Почты России»

3. Информация от 19.12.2022 не совпадает с другими утечками из «Почты России», ранее опубликованными в открытом доступе, поскольку относится к другой информационной системе почтового оператора, не появлявшейся ранее в публичном поле. Целями злоумышленников можно считать желание расширить формируемую в публичном поле область компрометации инфраструктуры РФ за счет выдачи данных утечки из одной организации за данные другой.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии