Великий масив персональних даних українців лежав незахищеним 4 роки. Чиновники про це знали
Незадовільний захист даних приватними центрами технічної перевірки авто призвела до вразливості сотень тисяч особистих документів українців до витоку. Про це повідомляє Kyiv Independent.
992 978 документів лежали незахищеними на хмарному сервері 4 роки, і за цей час легко могли потрапити до рук російських хакерів та ФСБ. Про вразливість українським посадовцям повідомляли ще у 2022 році, але дані просто лежали там, поки відомства не могли вирішити, в чиїй вони компетенції.
Що сталося?
- У витік потрапили здебільшого документи людей, які купували вживані автомобілі за кордоном. Наразі йдеться про 992 978 документів. Усі вони, на думку експертів, походять з автотехнічних центрів, які перевіряють і сертифікують вживані іномарки, що продаються в Україну.
- Серед відносно нешкідливих файлів, як-от фотографії автомобілів і квитанції про операції чи самі сертифікати, чимало важливих документів з вразливими персональними даними, а саме: скани та ксерокопії паспортів, ІПН, водійських прав і реєстраційних документів транспортних засобів з усіх куточків України.
- Орієнтовно база даних охоплює десятки, а можливо, і сотні тисяч українців, а також іноземних організацій, які продавали автомобілі в Україну.
- До 1 квітня документи були доступні, незахищені, незашифровані, та навіть не захищені паролем на сервері одного з найбільших постачальників хмарних сховищ у світі, який є легкою мішенню для хакерів.
«Якщо він ще не зламаний – лише питання часу, коли це станеться, — каже спеціаліст з кібербезпеки та управління доступом Джейк Діксон, який помітив ці документи. – І я знаю, що в російській розвідці та російських кіберкомандуваннях є групи людей, які таке шукають».
- Дані лежали незахищеними 4 роки і наразі немає способу дізнатися, чи отримали до нього доступ зловмисники та які дані з нього було взято. Остання партія документів була завантажена 11 березня 2025 року. Найперші документи датуються початком 2021 року.
- 1 квітня 2025 року, нарешті, вони були закриті.
Хто винен?
- Персональні дані тисяч і тисяч українців опинилися під загрозою через недбалу безпеку в центрах техогляду, серед яких «Центр Авто», «та «АвтоТехноСервіс», «Євро-Центр», «ВК АВТО».
- Це приватні підприємства, сертифіковані Міністерством розвитку громад і територій (раніше – Міністерство інфраструктури), які здійснюють перевірку стану автомобіля при його ввезенні в Україну з-за кордону на вимогу законодавства.
- Постачальник хмарного сховища, про яке йдеться, вважається добре захищеною системою для керування даними. Його назва не розголошується з етичних міркувань. Однак даний набір даних не мав навіть базового захисту, як-от пароль. За словами Діксона, достатньо озброїтися спеціальним ПЗ (досить дешевим), яке сканує конфіденційні дані, що залишилися вразливими, щоб отримати доступ до такої бази даних. Він саме так і знайшов документи. І таке ПЗ, безумовно, існує в росії.
- Діксон стверджує, що повідомляв українську владу, а саме CERT-UA, про свою знахідку ще в квітні 2022 року, але, за його словами, це нічим не закінчилося. Лише зараз, через три роки, після звернення до Kyiv Independent влада, здається, вирішила подбати про їх захист.
- Представник Держспецзв’язку (курує CERT-UA) пояснив Kyiv Independent, що відомство відповідає за «кіберінциденти», а витоки даних – це, скоріше, компетенція Міністерства цифрової трансформації. Представник Мінцифри також заперечила відповідальність відомства за ці дані.
- Начальник відділу технічного регулювання Департаменту дорожнього транспорту та безпеки дорожнього руху Мінрозвитку Руслан Кириченко заявив, що «центри техогляду не підпорядковуються Мінрозвитку».
- Kyiv Independent звернувся також до представників СБУ та Міністерства юстиції. Усі заперечили причетність до цих даних.
Чому це важливо?
Це далеко не перший інцидент, коли персональні дані громадян опинилися під загрозою. Останнім інцидентом був масштабний збій на рівні мережевої інфраструктури, через який «лягли» усі державні реєстри. Відповідальність тоді взяли на себе російські хакери з XakNet Team. Вони заявляли, що завантажили всі дані (більше мільярда рядків) та видалили їх з серверів. А доступ до інфраструктури Мінʼюсту отримали через атаку на ДП «НАІС», централізований орган, який опікується держреєстрами. Держспецзв’язку тоді спростувала витік інформації. Реєстри відновлювали дуже довго.
Україна в стані війни з росією, в ці часи будь-які вразливі дані – це зброя. Поки міністерства та відомства розбираються між собою, у чиїй компетенції той чи інший датасет, російські спецслужби вербують нових агентів серед найвразливіших українців, користуючись їхніми персональними даними.
Великий масив персональних даних українців лежав незахищеним 4 роки. Чиновники про це знали
Незадовільний захист даних приватними центрами технічної перевірки авто призвела до вразливості сотень тисяч особистих документів українців до витоку. Про це повідомляє Kyiv Independent.
992 978 документів лежали незахищеними на хмарному сервері 4 роки, і за цей час легко могли потрапити до рук російських хакерів та ФСБ. Про вразливість українським посадовцям повідомляли ще у 2022 році, але дані просто лежали там, поки відомства не могли вирішити, в чиїй вони компетенції.
Що сталося?
- У витік потрапили здебільшого документи людей, які купували вживані автомобілі за кордоном. Наразі йдеться про 992 978 документів. Усі вони, на думку експертів, походять з автотехнічних центрів, які перевіряють і сертифікують вживані іномарки, що продаються в Україну.
- Серед відносно нешкідливих файлів, як-от фотографії автомобілів і квитанції про операції чи самі сертифікати, чимало важливих документів з вразливими персональними даними, а саме: скани та ксерокопії паспортів, ІПН, водійських прав і реєстраційних документів транспортних засобів з усіх куточків України.
- Орієнтовно база даних охоплює десятки, а можливо, і сотні тисяч українців, а також іноземних організацій, які продавали автомобілі в Україну.
- До 1 квітня документи були доступні, незахищені, незашифровані, та навіть не захищені паролем на сервері одного з найбільших постачальників хмарних сховищ у світі, який є легкою мішенню для хакерів.
«Якщо він ще не зламаний – лише питання часу, коли це станеться, — каже спеціаліст з кібербезпеки та управління доступом Джейк Діксон, який помітив ці документи. – І я знаю, що в російській розвідці та російських кіберкомандуваннях є групи людей, які таке шукають».
- Дані лежали незахищеними 4 роки і наразі немає способу дізнатися, чи отримали до нього доступ зловмисники та які дані з нього було взято. Остання партія документів була завантажена 11 березня 2025 року. Найперші документи датуються початком 2021 року.
- 1 квітня 2025 року, нарешті, вони були закриті.
Хто винен?
- Персональні дані тисяч і тисяч українців опинилися під загрозою через недбалу безпеку в центрах техогляду, серед яких «Центр Авто», «та «АвтоТехноСервіс», «Євро-Центр», «ВК АВТО».
- Це приватні підприємства, сертифіковані Міністерством розвитку громад і територій (раніше – Міністерство інфраструктури), які здійснюють перевірку стану автомобіля при його ввезенні в Україну з-за кордону на вимогу законодавства.
- Постачальник хмарного сховища, про яке йдеться, вважається добре захищеною системою для керування даними. Його назва не розголошується з етичних міркувань. Однак даний набір даних не мав навіть базового захисту, як-от пароль. За словами Діксона, достатньо озброїтися спеціальним ПЗ (досить дешевим), яке сканує конфіденційні дані, що залишилися вразливими, щоб отримати доступ до такої бази даних. Він саме так і знайшов документи. І таке ПЗ, безумовно, існує в росії.
- Діксон стверджує, що повідомляв українську владу, а саме CERT-UA, про свою знахідку ще в квітні 2022 року, але, за його словами, це нічим не закінчилося. Лише зараз, через три роки, після звернення до Kyiv Independent влада, здається, вирішила подбати про їх захист.
- Представник Держспецзв’язку (курує CERT-UA) пояснив Kyiv Independent, що відомство відповідає за «кіберінциденти», а витоки даних – це, скоріше, компетенція Міністерства цифрової трансформації. Представник Мінцифри також заперечила відповідальність відомства за ці дані.
- Начальник відділу технічного регулювання Департаменту дорожнього транспорту та безпеки дорожнього руху Мінрозвитку Руслан Кириченко заявив, що «центри техогляду не підпорядковуються Мінрозвитку».
- Kyiv Independent звернувся також до представників СБУ та Міністерства юстиції. Усі заперечили причетність до цих даних.
Чому це важливо?
Це далеко не перший інцидент, коли персональні дані громадян опинилися під загрозою. Останнім інцидентом був масштабний збій на рівні мережевої інфраструктури, через який «лягли» усі державні реєстри. Відповідальність тоді взяли на себе російські хакери з XakNet Team. Вони заявляли, що завантажили всі дані (більше мільярда рядків) та видалили їх з серверів. А доступ до інфраструктури Мінʼюсту отримали через атаку на ДП «НАІС», централізований орган, який опікується держреєстрами. Держспецзв’язку тоді спростувала витік інформації. Реєстри відновлювали дуже довго.
Україна в стані війни з росією, в ці часи будь-які вразливі дані – це зброя. Поки міністерства та відомства розбираються між собою, у чиїй компетенції той чи інший датасет, російські спецслужби вербують нових агентів серед найвразливіших українців, користуючись їхніми персональними даними.
