Минцифры на основании отчёта «Ростелеком Солар» опровергло информацию об утечке данных пользователей «Госуслуг»

20 декабря 2022 года Минцифры на основании отчёта «Ростелеком Солар» опровергло информацию об утечке данных пользователей «Госуслуг». По версии экспертов из DLBI, которые не нашли в старой утечке «Почты России» многих данных из нового файла с ПД пользователей «Госуслуг», Минцифры анонсировало факт ранее не озвученной утечки из одной из информационных систем АО «Почта России», которая затрагивает не только номера отправлений, телефоны и адреса, но и более критичные ПД, включая номер паспорта и ФИО.

Отчёт «Ростелеком Солар» об анализе цикла выгрузок информации в телеграм-каналах, относящихся к данным «Почты России».

19.12.2022 в 10:17 в телеграм-канале DumpForums выложен файл (esia.097.csv), содержащий 1 миллион строк и следующие данные:

1. Наименование информационной системы (ЕСИА)
2. Токен
3. Дата
4. Наименование информационной системы (erl-portal)
5. ФИО
6. Пол
7. Дата рождения
8. СНИЛС
9. ИНН
10. Адрес
11. Паспортные данные
12. Статус проверки паспорта (предположительно)
13. E-mail
14. Телефон
15. OID ЕСИА (идентификтатор пользователя в базе ЕСИА)

Это стало очередной публикацией так называемой утечки из ЕСИА, первая из которых была выложена 11.10.2022 в том же телеграм-канале. После этого было осуществлено последовательное малое дополнение утечки в 3 итерации до общего объёма данных около 30 тысяч строк и две большие выгрузки, выставленные на различных форумах – публикация от 18 октября, содержащая более 2,5 миллионов строк, и от 19 декабря, описанная выше в отчёте. Совокупный объем опубликованной уникальной информации на текущий момент превышает 3 млн строк. Даты на записях в файле явным образом перебиты (не совпадают между утечками и не совпадают с датой формирования части данных внутри систем) с целью продемонстрировать актуальность полученной базы, поэтому на текущий момент дата утечки атрибутируется во вторую половину 2021 года.

Поскольку речь идёт о персональных данных, в выгрузке отсутствуют пароли или хэши паролей и по существенной части учётных записей включён второй фактор, версия по получения данной информации из системы ЕСИА посредством брутфорс (перебора паролей) считается технически невозможной.
 
В результате проверки установлено:

1. Источником утечки информации не являются информационные системы ИЭП, в том числе ЕПГУ(ЕСИА):
a. Информация о проверке паспорта в указанном виде не содержится в БД ЕСИА;
b. OID ЕСИА содержится лишь в небольшой части строк. Значения OID остальных строк не содержат данных;
c. Несмотря на то, что OID действительно используется в рамках взаимодействия между компонентами ЕПГУ и некоторыми внешними системами, в частности СМЭВ, эта утечка не является утечкой из ЕСИА, поскольку в последней отсутствуют данные о статусе проверки паспорта (п12). OID ЕСИА могли оказаться в наборе данных вследствие утечки из сторонней системы, взаимодействующей со СМЭВ;
d. Наименование информационной системы (erl-portal) отсутствует в данных БД ЕСИА и иных БД ЕПГУ.

2. Согласно проведённой аналитике, утечка произошла из одной из информационных систем АО «Почта России»:

a. Выгрузка данных по запросам согласий на передачу данных показала, что подавляющее количество указанных OID давали согласие на передачу данных из ЕСИА в адрес ИС «Почты России» (ввиду отсутствия историчности данных, на момент проверки часть пользователей могли отозвать своё согласие на передачу данных в сторону «Почты России»).
b. В справочниках по ВС СМЭВ выявлено несколько ресурсов на стороне «Почты России» для межведомственного взаимодействия, имеющих название, схожее по написанию с указанной в файле информационной системой erl-portal.
c. Структура данных совпадает с передаваемой со стороны Госуслуг в сторону «Почты России»

3. Информация от 19.12.2022 не совпадает с другими утечками из «Почты России», ранее опубликованными в открытом доступе, поскольку относится к другой информационной системе почтового оператора, не появлявшейся ранее в публичном поле. Целями злоумышленников можно считать желание расширить формируемую в публичном поле область компрометации инфраструктуры РФ за счёт выдачи данных утечки из одной организации за данные другой»,

— опубликовали в Минцифры данные из отчёта «РТК-Солар» по инциденту.

19 декабря Минцифры почти сразу опровергло информацию об утечке персональных данных пользователей портала «Госуслуги».

«Данные, якобы украденные у пользователей „Госуслуг“, — компиляция информации, попавшей в сеть из-за утечки у „Почты России“, которая произошла ещё летом», — пояснил СМИ глава Минцифры Максут Шадаев.

«Это опять база данных „Почты России“, та утечка, которая в четвёртый раз под этим видом новой утечки выдаётся. Компиляция данных. Это точно абсолютно», — рассказал СМИ глава Минцифры.

«Информация об утечке с „Госуслуг“ – фейк. В сети снова появляются сообщения от лица «украинских хакеров» о якобы взломе Госуслуг и утечке данных пользователей. Это фейк. Рассказываем, что произошло на самом деле.

Специалисты Ростелекома, которые отвечают за безопасность портала, проверили опубликованный файл и выяснили, что он не имеет отношения к Госуслугам. В нём нет тех параметров, которые обязательно есть в настоящих учётных записях. Проще говоря, это очередная компиляция, выданная за результат взлома.

Исследование показало, что это старая утечка с одного из сторонних порталов. Портал использует вход через Единую систему идентификации и аутентификации (ЕСИА), а для пользователей это выглядит как «вход через Госуслуги», но без ввода логина и пароля. Система получает от ЕСИА подтверждение личности и разрешает вход на портал, однако не имеет прямого доступа к набору данных пользователя.

Все данные пользователей Госуслуг (включая логины и пароли) по-прежнему в безопасности и надёжно защищены. Злоумышленники уже не первый раз публикуют фрагменты одной и той же базы данных, каждый раз выдавая их за утечку с Госуслуг.

Любые публикации об утечках приводят к тому, что мошенники начинают рассылать сообщения о взломах и якобы способах защиты от них. Если перейти по ссылке, мошенники уже по-настоящему получат доступ к аккаунту и вашим данным. Мы рекомендуем не открывать письма с подозрительных адресов и не сообщать личную информацию незнакомцам»,

— рассказали в Минцифры.

Основатель сервиса поиска утечек и мониторинга даркнета DLBI Ашот Оганесян пояснил для Хабра, что вышеописанные уточнения по поводу агрегации данных из июньской утечки «Почты России» тут не совсем уместны, так как в том инциденте в открытый доступ не попали ИНН, СНИЛС и паспортные данные пользователей.

Ранее, по информации Telegram-канала DLBI, неизвестные хакеры выложили в открытый доступ файл с 1 млн строк с ПД пользователей из, якобы, базы портала «Госуслуги».

В DLBI пояснили, что в файле с утечкой содержится 1 067 034 строк с данными, включая:

• ФИО;
• адрес электронной почты (около 890 тыс. уникальных адресов);
• номер телефона (около 1 млн уникальных номеров);
• пол;
• дата рождения;
• адрес проживания;
• паспорт (серия, номер, кем и когда выдан);
• ИНН.

Эксперты сервиса поиска утечек и мониторинга даркнета DLBI пояснили, что диапазон дат обновления записей в файле находится в промежутке с 1 января 2022 года по 30 ноября 2022 года. Они проверили выборочно часть данных и выяснили, что в утечке есть как минимум часть настоящих данных пользователей.

«В некоторых Telegram-каналах распространяются скриншоты якобы утекшей базы данных пользователей портала госуслуг. Сообщаем, что эти публикации — очередной фейк», — пояснили в «Ростелекоме» 5 декабря.

По данным «Ростелекома», анализ списков не показал, что они имеют отношение к учётным записям на федеральном портале. «Похоже, что это сведения одного из региональных порталов, появившиеся в открытом доступе в конце прошлого года. Об этом свидетельствует и состав полей, и региональная принадлежность данных на скриншотах», — уточнили в «Ростелекоме».

«Федеральный портал „Госуслуг“ работает в штатном режиме, несмотря на усиление в 2022 году хакерских атак из-за рубежа», — подытожили в компании.

В начале декабря, согласно информации Telegram-канала «Утечки информации», в открытый доступ неизвестным хакером был выложен третий файл с 37,5 тыс. строк с персональными данными пользователей из, якобы, базы портала «Госуслуги». Эксперты сервиса поиска утечек и мониторинга даркнета DLBI рассказали, что опубликованная третья часть данных была получена, предположительно, перебором идентификаторов пользователей из Единой Системы Идентификации и Аутентификации (ЕСИА) портала «Госуслуги», с использованием ранее утекших сертификатов из региональных информационных систем.

В DLBI уточнили, что в новой выложенной базе 37 578 строк, содержащие такие данные пользователей, как ФИО, ИНН, СНИЛС, номер телефона, адрес эл. почты, пол, дата рождения, адрес регистрации и фактического места жительства, паспорт (серия, номер, кем и когда выдан), серия и номер водительского удостоверения (не для всех), марка, серия/номер свидетельства о регистрации и госномер автотранспортного средства (не для всех).

В октябре Минцифры и «Ростелеком» опровергали информацию о других утечках данных пользователей «Госуслуг» с 5 тыс. строк с персональными данными пользователей, с 22 тыс. строк с ПД и с 2,5 млн строк с ПД. Тогда в Минцифры и «Ростелекоме» заявили, что «результаты расследования дают основания для вывода, что источником утечки стала система, в которой указанные данные собираются от пользователей самостоятельно, а технические детали инцидента позволяют предположить, что это могут быть ресурсы «Почты России»».