20 декабря 2022 года Минцифры на основании отчёта «Ростелеком Солар» опровергло информацию об утечке данных пользователей «Госуслуг». По версии экспертов из DLBI, которые не нашли в старой утечке «Почты России» многих данных из нового файла с ПД пользователей «Госуслуг», Минцифры анонсировало факт ранее не озвученной утечки из одной из информационных систем АО «Почта России», которая затрагивает не только номера отправлений, телефоны и адреса, но и более критичные ПД, включая номер паспорта и ФИО.
Отчёт «Ростелеком Солар» об анализе цикла выгрузок информации в телеграм-каналах, относящихся к данным «Почты России».19 декабря Минцифры почти сразу опровергло информацию об утечке персональных данных пользователей портала «Госуслуги».
19.12.2022 в 10:17 в телеграм-канале DumpForums выложен файл (esia.097.csv), содержащий 1 миллион строк и следующие данные:
1. Наименование информационной системы (ЕСИА)
2. Токен
3. Дата
4. Наименование информационной системы (erl-portal)
5. ФИО
6. Пол
7. Дата рождения
8. СНИЛС
9. ИНН
10. Адрес
11. Паспортные данные
12. Статус проверки паспорта (предположительно)
13. E-mail
14. Телефон
15. OID ЕСИА (идентификтатор пользователя в базе ЕСИА)
Это стало очередной публикацией так называемой утечки из ЕСИА, первая из которых была выложена 11.10.2022 в том же телеграм-канале. После этого было осуществлено последовательное малое дополнение утечки в 3 итерации до общего объёма данных около 30 тысяч строк и две большие выгрузки, выставленные на различных форумах – публикация от 18 октября, содержащая более 2,5 миллионов строк, и от 19 декабря, описанная выше в отчёте. Совокупный объем опубликованной уникальной информации на текущий момент превышает 3 млн строк. Даты на записях в файле явным образом перебиты (не совпадают между утечками и не совпадают с датой формирования части данных внутри систем) с целью продемонстрировать актуальность полученной базы, поэтому на текущий момент дата утечки атрибутируется во вторую половину 2021 года.
Поскольку речь идёт о персональных данных, в выгрузке отсутствуют пароли или хэши паролей и по существенной части учётных записей включён второй фактор, версия по получения данной информации из системы ЕСИА посредством брутфорс (перебора паролей) считается технически невозможной.
В результате проверки установлено:
1. Источником утечки информации не являются информационные системы ИЭП, в том числе ЕПГУ(ЕСИА):
a. Информация о проверке паспорта в указанном виде не содержится в БД ЕСИА;
b. OID ЕСИА содержится лишь в небольшой части строк. Значения OID остальных строк не содержат данных;
c. Несмотря на то, что OID действительно используется в рамках взаимодействия между компонентами ЕПГУ и некоторыми внешними системами, в частности СМЭВ, эта утечка не является утечкой из ЕСИА, поскольку в последней отсутствуют данные о статусе проверки паспорта (п12). OID ЕСИА могли оказаться в наборе данных вследствие утечки из сторонней системы, взаимодействующей со СМЭВ;
d. Наименование информационной системы (erl-portal) отсутствует в данных БД ЕСИА и иных БД ЕПГУ.
2. Согласно проведённой аналитике, утечка произошла из одной из информационных систем АО «Почта России»:
a. Выгрузка данных по запросам согласий на передачу данных показала, что подавляющее количество указанных OID давали согласие на передачу данных из ЕСИА в адрес ИС «Почты России» (ввиду отсутствия историчности данных, на момент проверки часть пользователей могли отозвать своё согласие на передачу данных в сторону «Почты России»).
b. В справочниках по ВС СМЭВ выявлено несколько ресурсов на стороне «Почты России» для межведомственного взаимодействия, имеющих название, схожее по написанию с указанной в файле информационной системой erl-portal.
c. Структура данных совпадает с передаваемой со стороны Госуслуг в сторону «Почты России»
3. Информация от 19.12.2022 не совпадает с другими утечками из «Почты России», ранее опубликованными в открытом доступе, поскольку относится к другой информационной системе почтового оператора, не появлявшейся ранее в публичном поле. Целями злоумышленников можно считать желание расширить формируемую в публичном поле область компрометации инфраструктуры РФ за счёт выдачи данных утечки из одной организации за данные другой",
— опубликовали в Минцифры данные из отчёта «РТК-Солар» по инциденту.
«Данные, якобы украденные у пользователей „Госуслуг“, — компиляция информации, попавшей в сеть из-за утечки у „Почты России“, которая произошла ещё летом», — пояснил СМИ глава Минцифры Максут Шадаев.
«Это опять база данных „Почты России“, та утечка, которая в четвёртый раз под этим видом новой утечки выдаётся. Компиляция данных. Это точно абсолютно», — рассказал СМИ глава Минцифры.
«Информация об утечке с „Госуслуг“ – фейк. В сети снова появляются сообщения от лица «украинских хакеров» о якобы взломе Госуслуг и утечке данных пользователей. Это фейк. Рассказываем, что произошло на самом деле.Основатель сервиса поиска утечек и мониторинга даркнета DLBI Ашот Оганесян пояснил для Хабра, что вышеописанные уточнения по поводу агрегации данных из июньской утечки «Почты России» тут не совсем уместны, так как в том инциденте в открытый доступ не попали ИНН, СНИЛС и паспортные данные пользователей.
Специалисты Ростелекома, которые отвечают за безопасность портала, проверили опубликованный файл и выяснили, что он не имеет отношения к Госуслугам. В нём нет тех параметров, которые обязательно есть в настоящих учётных записях. Проще говоря, это очередная компиляция, выданная за результат взлома.
Исследование показало, что это старая утечка с одного из сторонних порталов. Портал использует вход через Единую систему идентификации и аутентификации (ЕСИА), а для пользователей это выглядит как «вход через Госуслуги», но без ввода логина и пароля. Система получает от ЕСИА подтверждение личности и разрешает вход на портал, однако не имеет прямого доступа к набору данных пользователя.
Все данные пользователей Госуслуг (включая логины и пароли) по-прежнему в безопасности и надёжно защищены. Злоумышленники уже не первый раз публикуют фрагменты одной и той же базы данных, каждый раз выдавая их за утечку с Госуслуг.
Любые публикации об утечках приводят к тому, что мошенники начинают рассылать сообщения о взломах и якобы способах защиты от них. Если перейти по ссылке, мошенники уже по-настоящему получат доступ к аккаунту и вашим данным. Мы рекомендуем не открывать письма с подозрительных адресов и не сообщать личную информацию незнакомцам»,
— рассказали в Минцифры.
Ранее, по информации Telegram-канала DLBI, неизвестные хакеры выложили в открытый доступ файл с 1 млн строк с ПД пользователей из, якобы, базы портала «Госуслуги».
В DLBI пояснили, что в файле с утечкой содержится 1 067 034 строк с данными, включая:
- ФИО;
- адрес электронной почты (около 890 тыс. уникальных адресов);
- номер телефона (около 1 млн уникальных номеров);
- пол;
- дата рождения;
- адрес проживания;
- паспорт (серия, номер, кем и когда выдан);
- ИНН.
Эксперты сервиса поиска утечек и мониторинга даркнета DLBI пояснили, что диапазон дат обновления записей в файле находится в промежутке с 1 января 2022 года по 30 ноября 2022 года. Они проверили выборочно часть данных и выяснили, что в утечке есть как минимум часть настоящих данных пользователей.
«В некоторых Telegram-каналах распространяются скриншоты якобы утекшей базы данных пользователей портала госуслуг. Сообщаем, что эти публикации — очередной фейк», — пояснили в «Ростелекоме» 5 декабря.
По данным «Ростелекома», анализ списков не показал, что они имеют отношение к учётным записям на федеральном портале. «Похоже, что это сведения одного из региональных порталов, появившиеся в открытом доступе в конце прошлого года. Об этом свидетельствует и состав полей, и региональная принадлежность данных на скриншотах», — уточнили в «Ростелекоме».
«Федеральный портал „Госуслуг“ работает в штатном режиме, несмотря на усиление в 2022 году хакерских атак из-за рубежа», — подытожили в компании.
В начале декабря, согласно информации Telegram-канала «Утечки информации», в открытый доступ неизвестным хакером был выложен третий файл с 37,5 тыс. строк с персональными данными пользователей из, якобы, базы портала «Госуслуги». Эксперты сервиса поиска утечек и мониторинга даркнета DLBI рассказали, что опубликованная третья часть данных была получена, предположительно, перебором идентификаторов пользователей из Единой Системы Идентификации и Аутентификации (ЕСИА) портала «Госуслуги», с использованием ранее утекших сертификатов из региональных информационных систем.
В DLBI уточнили, что в новой выложенной базе 37 578 строк, содержащие такие данные пользователей, как ФИО, ИНН, СНИЛС, номер телефона, адрес эл. почты, пол, дата рождения, адрес регистрации и фактического места жительства, паспорт (серия, номер, кем и когда выдан), серия и номер водительского удостоверения (не для всех), марка, серия/номер свидетельства о регистрации и госномер автотранспортного средства (не для всех).
В октябре Минцифры и «Ростелеком» опровергали информацию о других утечках данных пользователей «Госуслуг» с 5 тыс. строк с персональными данными пользователей, с 22 тыс. строк с ПД и с 2,5 млн строк с ПД. Тогда в Минцифры и «Ростелекоме» заявили, что «результаты расследования дают основания для вывода, что источником утечки стала система, в которой указанные данные собираются от пользователей самостоятельно, а технические детали инцидента позволяют предположить, что это могут быть ресурсы «Почты России»».
